Kaspersky Lab identifica grupos de ransomware focados em ataques contra empresas
Os oito grupos identificados incluem os autores do PetrWrap, que atacaram organizações financeiras em todo o mundo e o infame grupo Mamba
Os oito grupos identificados incluem os autores do PetrWrap, que atacaram organizações financeiras em todo o mundo; o infame grupo Mamba e seis grupos não identificados que também visam corporativos. É interessante notar que estes seis grupos foram anteriormente envolvidos em ataques dirigidos principalmente aos usuários privados e utilizando modelos de programas de afiliados. Agora, eles têm reorientado seus esforços em redes corporativas. De acordo com os pesquisadores da Kaspersky Lab, a razão para esta tendência é clara – os criminosos consideram ataques de ransomware dirigidos contra empresas potencialmente mais rentáveis do que ataques de massa contra usuários privados. Um ataque ransomware bem-sucedido contra uma empresa pode facilmente parar seus processos de negócios por horas ou mesmo dias, tornando os proprietários das empresas afetadas mais propensos a pagar o resgate.
Em geral, as táticas, técnicas e procedimentos utilizados por esses grupos são muito semelhantes. Eles infectam a organização alvo com malware através de servidores vulneráveis ou spear phishing de e-mails. Em seguida, eles estabelecem a persistência na rede da vítima e identificam os recursos corporativos valiosos para criptografar, exigindo posteriormente um resgate em troca de descriptografia. Além de suas semelhanças, alguns grupos têm suas próprias características únicas.
Por exemplo, o grupo Mamba usa seu próprio malware de criptografia, baseado no software de código aberto DiskCryptor. Uma vez que os atacantes ganham um ponto de apoio na rede, eles instalam o cifrador através dele, usando um utilitário legal para o controle remoto do Windows. Essa abordagem torna as ações menos suspeitas para os agentes de segurança da organização alvo. Pesquisadores da Kaspersky Lab encontraram casos em que o resgate ascendeu a um bitcoin (cerca de R$ 3.550 até o final de março de 2017) pela decifragem de um end-point.
Outro exemplo exclusivo de ferramentas usadas em ataques de ransomware dirigidos vem do PetrWrap. Este grupo destina-se principalmente a grandes empresas que possuem um grande número de nós de rede. Os criminosos cuidadosamente selecionam alvos para cada ataque, que pode durar algum tempo: PetrWrap tem sido persistente em uma rede de até 6 meses.
"Devemos todos estar cientes de que a ameaça de ataques de ransomware dirigido sobre as empresas está aumentando, trazendo perdas financeiras tangíveis. A tendência é alarmante já que os atores do ransomware começaram sua cruzada para vítimas novas e mais rentáveis. Há muitos mais potenciais alvos de ransomware ativos, com ataques resultando em consequências ainda mais desastrosas", disse Anton Ivanov, Pesquisador de Segurança Sênior, Anti-Ransom, Kaspersky Lab.
A fim de proteger as organizações de tais ataques, especialistas em segurança Kaspersky Lab aconselham o seguinte:
- Faça um backup adequado e pontual de seus dados para que ele possa ser usado para restaurar arquivos originais após um evento de perda de dados.
- Use uma solução de segurança com tecnologias de detecção baseadas em comportamento. Essas tecnologias podem capturar malware, incluindo ransomware, observando como ele opera no sistema atacado e tornando possível detectar amostras frescas e ainda desconhecidas de ransomware.
- Visite o site "No More Ransom", uma iniciativa conjunta com o objetivo de ajudar as vítimas de ransomware a recuperar seus dados criptografados sem ter que pagar os criminosos.
Faça uma auditoria nos softwares instalados, não só em pontos de extremidade, mas também em todos os nós e servidores na rede e os mantenha atualizado.
- Realize uma avaliação de segurança da rede de controle (como auditoria de segurança, testes de penetração, análise de lacunas) para identificar e remover quaisquer lacunas de segurança. Revise as políticas de segurança de fornecedores externos e de terceiros caso eles tenham acesso direto à rede de controle.
- Solicite inteligência externa: a inteligência de fornecedores respeitáveis ajuda as organizações a prever futuros ataques à empresa.
- Treine seus funcionários, prestando atenção especial as equipes operacionais e de engenharia, bem como seu conhecimento sobre recentes ameaças e ataques.
- Forneça proteção dentro e fora do perímetro. Uma estratégia de segurança adequada tem que dedicar recursos significativos para a detecção de ataque e resposta, a fim de bloquear um ataque antes que ele atinja objetos criticamente importantes.
Para saber mais sobre ataques Ransomware segmentados, leia a postagem do blog disponível em Securelist.com.
Por favor, verifique o NoRansom.kaspersky.com para ver as ferramentas que desenvolvemos para ajudar vítimas ransomware.
Nenhum comentário