CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Empresas não são capazes de se proteger contra ransomware, mostra pesquisa

Não investir em soluções de segurança pode ser fatal para a maioria das empresas. Ainda assim, quase metade das organizações ao redor do mundo não conta com tecnologias para detectar, prevenir e mitigar ataques.

Não investir em soluções de segurança pode ser fatal para a maioria das empresas. Ainda assim, quase metade das organizações ao redor do mundo não conta com tecnologias para detectar, prevenir e mitigar ataques.

O que você vai ler hoje:

Quase metade das empresas não consegue se prevenir de ataques de ransomware por falta de tecnologias de segurança

Cerca de metade das empresas não têm tecnologia para prevenir ou detectar ataques de ransomware, de acordo com um novo relatório de pesquisadores de segurança cibernética.

Os resultados sugerem que muitas das organizações não contam com os recursos de segurança cibernética necessários para evitar ataques altamente prejudiciais aos negócios, como a capacidade de detectar, por exemplo, e-mails de phishing, comprometimento do protocolo de desktop remoto (RDP) ou outras técnicas comuns utilizadas por cibercriminosos em campanhas de ransomware.

O relatório também alerta que muitas organizações lutam para detectar atividades suspeitas associadas a ransomware e ataques que podem demonstrar evidências iniciais de que criminosos cibernéticos comprometeram a rede corporativa. Isso inclui não identificar movimentos laterais incomuns nas redes ou deixar de detectar usuários não-autorizados invadindo e obtendo acesso a documentos e dados corporativos.

Os cibercriminosos por trás dos ataques de ransomware estão acessando esses dados não apenas para criptografá-los e pedir milhões de dólares de resgate, mas também para roubá-los, efetivamente, usando a ameaça de divulgação dessas informações roubadas como uma forma de pressionar ainda mais as vítimas a pagar o valor abusivo a fim de obterem uma chave de descriptografia.

Além disso, a pesquisa sugere que menos da metade das organizações pode se recuperar rapidamente após um ataque de ransomware, e duas em cada cinco poderiam ter dificuldade para aprender com eficácia os processos de mitigação necessários para evitar ser vítima de um novo ataque de ransomware no futuro, mesmo depois de já ter sido vítima de criminosos cibernéticos.

Malware se aproveita de recursos do Office para infectar dispositivos de usuários

Documentos do Word e do Excel geralmente são programados para desativar avisos de macro do Office. Porém, esse recurso é justamente o que possibilita o malware bancário Zloader ser baixado nos sistemas de um usuário, sem que as ferramentas de segurança o sinalizem.

O ataque, de acordo com uma pesquisa publicada pela McAfee, combina as funções do Microsoft Office de ativação uma série de comandos que podem ser usados para automatizar uma tarefa repetida, e que podem ser executados durante a tarefa sem que seja emitido um aviso, para baixar uma carga útil de malware de modo que a ameaça não seja detectada.

O Zloader é um trojan bancário projetado para roubar credenciais e outras informações privadas de usuários de instituições financeiras específicas. O vetor de ataque inicial do malware são mensagens de phishing com anexos de documentos do Word que não contêm código malicioso. Assim, normalmente a ameaça não acionaria um gateway de e-mail ou antivírus para bloquear o ataque.

Mas, de forma ainda mais sofisticada, o malware se aproveita da técnica de ofuscação de macro, usando os campos de troca dinâmica de dados (DDE) do Microsoft Office Excel e o Visual Basic for Applications (VBA) baseado em Windows para lançar ataques contra sistemas que suportam esses formatos.

“Documentos maliciosos têm sido um ponto de entrada para a maioria das famílias de malware e esses ataques têm evoluído suas técnicas de infecção e ofuscação, não apenas se limitando a downloads diretos de carga útil, mas criando agentes dinâmicos para infectar dispositivos com essa carga útil”, escreveram os pesquisadores.

Em conclusão, eles sugerem que só é seguro ativar ações macros quando o documento recebido for de uma fonte confiável.

Empresas de petróleo e gás são vítimas de campanha direcionada, em andamento há mais de um ano

Está em andamento, há mais de um ano, uma campanha sofisticada que mira em grandes empresas do setor de petróleo e gás, descobriram pesquisadores. A campanha espalha cavalos de Troia de acesso remoto (RATs) comuns para fins de espionagem cibernética.

Embora a indústria de energia seja o alvo principal, a campanha também atingiu algumas organizações nos setores de TI, manufatura e mídia, disseram os responsáveis pela análise da campanha. Vítimas foram encontradas em todo o mundo, incluindo Alemanha, Emirados Árabes Unidos e EUA. Porém, empresas sul-coreanas parecem ser as principais vítimas.

“O ataque também tem como alvo fornecedores desse setor, o que pode indicar que este é apenas o primeiro estágio de uma campanha mais ampla”, observaram os pesquisadores em uma postagem. “No caso de uma violação bem-sucedida, por exemplo, o invasor pode usar uma conta de e-mail comprometida do destinatário para enviar e-mails de spear-phishing para empresas que trabalham com o fornecedor, usando a reputação do fornecedor para ir atrás de entidades mais lucrativas.”

Para iniciar o ataque, os criminosos enviam e-mails personalizados para os funcionários de cada empresa visada. Os endereços de e-mail do destinatário variam de endereços genéricos a pessoas específicas dentro das empresas, sugerindo que um trabalho estratégico de reconhecimento dos alvos está em andamento, em paralelo aos ataques mais generalizados.

Cada e-mail possui um anexo malicioso com um nome aparentemente complementar relacionado ao conteúdo do corpo do e-mail, de acordo com os pesquisadores. Esse anexo contém um malware .NET, que geralmente está dentro de um arquivo .IMG, .ISO ou .CAB.

Os arquivos são, no entanto, disfarçados como PDFs, usando extensões e ícones falsos a fim de parecerem menos suspeitos.

Pesquisador de segurança cria site que compila informações sobre ataques de Ransomware

Chamado de Ransomwhere, o site foi criado pelo pesquisador de segurança Jack Cable, que já trabalhou com a Agência de Segurança Cibernética e de Infraestrutura (CISA) como consultor de segurança para as eleições de 2020 nos EUA.

Ele também passou anos caçando bugs e trabalhando como um hacker whitehat para diversas empresas, a fim de ajudá-las a identificar e mitigar vulnerabilidades que poderiam servir de porta de entrada para ameaças.

Em uma entrevista ao site de tecnologia TechCrunch, Cable afirma que criou o Ransomwhere após ler um tweet da Diretora de Inteligência da Intel, Katie Nickels. Respondendo a uma pergunta sobre se a comunidade de segurança poderia estimar as perdas totais ligadas ao famoso malware TrickBot, Nickels observou que “ninguém conhece o impacto real” dessas ameaças. Ela ainda acrescentou que é difícil saber se ações específicas da vítima – como pagar, ou se recusar a pagar resgates – fazem diferença.

A ideia de Cable, portanto, foi criar um “banco de informações” que trouxesse justamente essa visibilidade.

Até o momento, a Ransomwhere rastreou mais de 56 milhões de dólares em pagamentos de resgate. Até o momento, a empresa Netwalker domina a tabela de empresas mais prejudicadas por ataques de ransomware, com mais de 520 pagamentos efetuados.

Por enquanto, os dados que alimentam Ransomwhere são crowdsourced, isto é, fornecidos pela comunidade. Para garantir a integridade dos dados, todos os relatórios devem incluir uma captura de tela do pedido de resgate para fins de verificação. Atualmente, Cable está verificando pessoalmente os envios, mas visa automatizar o processo em algum momento.

Quer manter sua empresa protegida contra as principais ameaças à segurança cibernética? Conheça nossas soluções e saiba como a Compugraf pode te ajudar!

Leia outros artigos