Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Ameaças à segurança cibernética que afetarão as empresas em agosto de 2023
As ameaças à cibersegurança estão a aumentar rapidamente. Como resultado, os líderes das empresas precisam de estar mais conscientes das potenciais deficiências na sua estratégia global de segurança cibernética. As consultas de busca de ameaças, oferecidas como parte dos serviços SOC da Marcum Technology, são essenciais para identificar ameaças potenciais no ambiente de uma organização.
Abaixo estão as quatro principais ameaças que surgiram no mês passado.
Os ataques de ransomware são um problema crescente para organizações em todo o mundo, tanto em escopo quanto em gravidade. A equipe de resposta a incidentes da Microsoft investigou os recentes ataques de ransomware BlackByte 2.0, revelando a velocidade alarmante e a natureza destrutiva desses ataques cibernéticos. As descobertas indicam que os hackers podem executar todo o processo de ataque, desde a obtenção do acesso inicial até causar danos significativos, em apenas cinco dias. Infiltram-se rapidamente nos sistemas, encriptam dados cruciais e exigem um resgate pela sua libertação. Este cronograma condensado representa um desafio significativo para as organizações que se esforçam para se defender contra essas operações maliciosas.
O ransomware BlackByte é empregado na fase final do ataque, utilizando uma chave numérica de 8 dígitos para criptografar dados. Os invasores usam uma poderosa combinação de ferramentas e técnicas, aproveitando os Microsoft Exchange Servers não corrigidos para obter acesso e estabelecer as bases para suas atividades maliciosas. Esvaziamento de processos, estratégias de evasão de antivírus, web shells para acesso remoto e beacons Cobalt Strike para operações de comando e controle aprimoram ainda mais suas capacidades, dificultando a defesa das organizações contra eles. Além disso, os cibercriminosos empregam ferramentas de “viver fora da terra” para camuflar as suas atividades e evitar a detecção. Eles modificam cópias de sombra de volume em máquinas infectadas para impedir a recuperação de dados por meio de pontos de restauração do sistema e implantam backdoors personalizados para acesso persistente mesmo após o comprometimento inicial.
À medida que os ataques de ransomware se tornam mais frequentes e sofisticados, os agentes de ameaças podem interromper rapidamente as operações comerciais se as organizações não estiverem adequadamente preparadas. A gravidade destes ataques exige uma acção imediata por parte das organizações em todo o mundo e, em resposta a estas conclusões, a Microsoft fornece recomendações práticas. Ele incentiva a implementação de procedimentos robustos de gerenciamento de patches para aplicar atualizações críticas de segurança antecipadamente. A ativação da proteção contra adulteração também é crucial, pois fortalece as soluções de segurança contra tentativas maliciosas de desativá-las ou contorná-las. Seguindo as melhores práticas, como manter sistemas atualizados e restringir privilégios administrativos, as organizações podem mitigar significativamente o risco de ataques de ransomware BlackByte e outras ameaças semelhantes.
Em uma campanha recente, apelidada de “Nitrogênio”, o carregamento lateral de DLL foi visto sendo aproveitado para comunicações C2. Em vez do vetor usual de phishing, o ataque começou com um download drive-by de um site WordPress comprometido. O arquivo, uma imagem ISO, contém um arquivo de instalação que deve ser executado manualmente pelo usuário final. O instalador então carrega o arquivo msi.dll e descriptografa o arquivo de dados que o acompanha. Uma distribuição Python incorporada e a DLL são descartadas para serem carregadas no caminho C:\Users\Public\Music\python do usuário.
O malware então cria uma tarefa agendada: “OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003”, que executa pythonw.exe. Isso garante persistência ao malware. A tarefa é programada para ser acionada na inicialização do sistema e expira em 1º de dezembro de 2029, à meia-noite.
Com a persistência estabelecida, o malware pode cumprir suas funções. Foi visto empregando sideload de DLL para manter uma conexão persistente com servidores C2 e chega ao ponto de recuperar dados compactados/codificados e, em seguida, executá-los localmente.
O Cobalt Strike foi observado como uma carga útil escolhida em um ponto, e parece que outras também poderiam ser implementadas. Esse malware certamente tem potencial para causar grandes danos, mas nesta campanha o consolo é que o usuário deve executar manualmente um arquivo baixado por meio de um download drive-by de um site comprometido. No entanto, isto pode sempre ser feito através de phishing, que continua a ser um dos vetores mais comuns devido à sua facilidade e eficácia.