Kaspersky Lab identifica novos atores de ransomware que realizam ataques-alvo contra empresas

51216
0
Share:

Os analistas da Kaspersky Lab descobriram uma nova tendência alarmante: cada vez mais hackers estão a desviar as atenções de utilizadores privados para levar a cabo ataques de ransomware contra empresas. Foram identificados pelo menos oito grupos envolvidos no desenvolvimento e distribuição de ransomware encriptado. Os ataques afetaram principalmente organizações financeiras de todo o mundo. Os especialistas da Kaspersky Lab encontraram casos em que os pedidos de pagamento foram além dos 470.000 euros.

Os oito grupos identificados incluem os autores do PetrWrap, que atacaram organizações financeiras de todo o mundo, o grupo Mamba e outros seis grupos que também têm como alvo utilizadores corporativos. Estes seis grupos estiveram envolvidos em ataques-alvo, principalmente a utilizadores privados, e utilizaram modelos de programas de afiliados. Agora, reorientaram os seus esforços para as redes corporativas.

Segundo os analistas da Kaspersky Lab, o motivo desta tendência é claro: os criminosos consideram que os ataques de ransomware dirigidos contra empresas são potencialmente mais rentáveis que os ataques massivos a utilizadores privados. Um ataque de ransomware bem-sucedido contra uma empresa pode reter facilmente os seus processos de negócio durante horas o até mesmo dias, o que torna mais provável que os proprietários das empresas afetadas paguem o resgate.

Em geral, as táticas, técnicas e procedimentos utilizados por estes grupos são muito semelhantes. Infetam a organização com malware através de servidores vulneráveis ou lançam correios eletrónicos de phishing. É então que se estabelecem na rede da vítima e identificam os recursos corporativos valiosos para encriptar, solicitando posteriormente um resgate em troca da desencriptação. Além das suas semelhanças, alguns grupos têm as suas próprias características.

Por exemplo, o grupo Mamba utiliza o seu próprio malware de encriptação, basado no software de código aberto DiskCryptor. Assim que os atacantes ganham um ponto de apoio na rede, instalam o encriptador utilizando um recurso legal para o controlo remoto do Windows. Esta técnica torna as ações menos suspeitas para os responsáveis de cibersegurança da empresa alvo. Os analistas da Kaspersky Lab encontraram casos em que o resgate ascendeu a uma bitcoin (cerca de 940.000 euros no final de março de 2017) por cada endpoint decifrado.

Outro exemplo único de ferramentas utilizadas em ataques de ransomware dirigidos vem de PetrWrap. Este grupo ataca principalmente grandes empresas que contam com um grande número de nós. Os criminosos selecionam cuidadosamente os bancos para cada ataque que pode durar bastante tempo: o PetrWrap conseguiu “persistir” numa rede até 6 meses.

A fim de proteger as organizações contra estes ataques, os especialistas em segurança de Kaspersky Lab aconselham o seguinte:

  • Realizar uma cópia de segurança dos dados para que seja possível restaurar os arquivos originais depois de um incidente de perda de dados.
  • Utilizar uma solução de segurança que inclua tecnologias de detenção baseadas no comportamento. Estas tecnologias podem capturar malware, incluindo ransomware, vendo como funciona no sistema atacado e tornando possível detetar amostras novas e desconhecidas de ransomware.
  • Visitar o site “No More Ransom”, uma iniciativa conjunta com o objetivo de ajudar as vítimas de ransomware a recuperar os seus dados encriptados sem ter que pagar aos criminosos.
  • Fazer uma auditoria do software instalado, não apenas aos endpoints, como também a todos os nós e servidores da rede e mantê-lo atualizado.
  • Realizar uma avaliação de segurança da rede de controlo (ou seja, uma auditoria de segurança, provas de penetração, análises de brechas) para identificar e eliminar as lagunas na segurança.
  • Rever as políticas de segurança de fornecedores externos e de terceiros no caso de terem acesso direto à rede de controlo.
  • Solicitar inteligência externa: a inteligência de fornecedores acreditados ajuda as organizações a prever futuros ataques à companhia.
  • Capacitar os colaboradores, prestando especial atenção ao pessoal de operações e de engenharia para que estejam conscientes das recentes ameaças e ataques.
  • Proporcionar proteção dentro e fora do perímetro. Uma estratégia de segurança adequada tem que dedicar recursos significativos à detenção de ataques e à resposta com o objetivo de bloquear um ataque antes de atingir alvos críticos.
Share:
Patricia Fonseca

Deixe o seu comentário