Novas ameaças, vulnerabilidades não-corrigidas e evolução de estratégias de ransomware preocupam agentes de segurança. O que você vai ler hoje:
- REvil saiu de cena, mas um novo ransomware já ocupa seu lugar
- Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais caros
- Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociais
- Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidas
REvil saiu de cena, mas um novo ransomware já ocupa seu lugar
A gangue de ransomware REvil – também conhecida como Sodinokibi – saiu de cena em julho, logo depois de chamar a atenção do governo dos EUA com um ataque massivo de ransomware que afetou 1.500 organizações em todo o mundo.
Não se sabe se o REvil sumiu de vez, mas cibercriminosos adeptos de esquemas de ransomware não vão esperar para descobrir: eles estão migrando para outros fornecedores e, de acordo com análises feitas por pesquisadores de segurança cibernética, o ransomware LockBit se tornou a alternativa preferida de invasores.
Embora o LockBit não seja tão conhecido quanto algumas outras formas de ransomware, aqueles que o usam têm atingido seu objetivo e lucrado milhares de Bitcoins em pedidos de resgate.
Além disso, os pesquisadores observam que muitos dos que agora recorrem ao LockBit estão usando as mesmas táticas, ferramentas e procedimentos que usavam anteriormente, quando trabalhavam com o REvil.
Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais caros
O valor médio de resgate de ransomware aumentou 82% ao longo dos últimos anos, e agora está acima de meio milhão de dólares, de acordo com um relatório que analisa o impacto dessa ameaça no primeiro semestre de 2021.
Publicado pela Unidade 42 da Palo Alto Networks, em agosto deste ano, o relatório mostra que especialistas em cibersegurança associados à empresa identificaram e analisaram 121 incidentes de ransomware até agora em 2021 – um aumento de 64% nos ataques do ano passado para cá.
Além disso, alerta que o que ajudou a intensificar os pagamentos de extorsão é os cibercriminosos estarem investindo bastante o dinheiro em “operações de ransomware altamente lucrativas”, escalando de uma estratégia de extorsão dupla para uma extorsão quádrupla.
A extorsão dupla existe há mais de um ano e é quando os agentes da ameaça não só paralisam os sistemas e/ou dados da vítima, mas também ameaçam vazar os dados comprometidos ou usá-los em futuros ataques de spam se as vítimas se recusarem a pagar as demandas de extorsão.
Mas, durante a primeira metade de 2021, os pesquisadores observaram grupos de ransomware geralmente usando até quatro técnicas para fazer as vítimas pagarem:
- Criptografia: as vítimas pagam para recuperar o acesso a dados e sistemas de computador comprometidos;
- Roubo de dados: os hackers divulgam informações confidenciais se o resgate não for pago;
- DoS: gangues de ransomware lançam ataques DoS que bloqueiam os sites públicos da vítima;
- Assédio moral: os cibercriminosos entram em contato com clientes, parceiros, funcionários e mídia para informar que a organização foi hackeada.
Essas táticas “cada vez mais agressivas” inflaram resgates que já vinham se tornando cada vez mais custosos. No ano passado, o pagamento médio subiu 171%, para mais de 312 mil dólares. Durante o primeiro semestre deste ano, porém, esse valor disparou para um recorde de 570 mil dólares, em média.
Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociais
Um novo cavalo de Troia visando usuários do Android, que atende pelo codinome FlyTrap, atingiu pelo menos 140 países desde março de 2021 e atingiu mais de 10.000 vítimas por meio de sequestro de mídia social, lojas de aplicativos e aplicativos de sideload.
A evidência forense desse ataque ativo aponta para agentes de ameaça do Vietnã, que, ao que tudo indica, estão executando esta campanha de sequestro de sessão desde o primeiro trimestre do ano.
As ameaças foram inicialmente distribuídas por meio do Google Play e de lojas de aplicativos de terceiros. Uma empresa especializada em segurança cibernética relatou as descobertas ao Google, que verificou a pesquisa fornecida e removeu os aplicativos maliciosos da Google Play Store. No entanto, os aplicativos maliciosos ainda estão disponíveis em repositórios de aplicativos terceirizados.
O FlyTrap representa um risco para usuários ao sequestrar suas contas do Facebook por meio de um Trojan que infecta o dispositivo Android. As informações coletadas do dispositivo Android da vítima incluem:
- ID do Facebook
- Localização
- Endereço de e-mail e endereço de IP
- Cookie e tokens associados à conta do Facebook
Essas sessões sequestradas do Facebook podem ser usadas para espalhar o malware abusando da credibilidade social da vítima por meio de mensagens pessoais com links para o Trojan, bem como propagação de propaganda ou campanhas de desinformação usando os detalhes de geolocalização da vítima.
Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidas
Em junho, informações técnicas e uma exploração de prova de conceito (Proof of Concept, ou PoC) vazaram acidentalmente, detalhando uma vulnerabilidade não-corrigida do Windows que permite a execução remota de código por parte de invasores.
Apesar da necessidade de autenticação, a gravidade do problema é crítica, pois os agentes da ameaça podem usá-lo para assumir o controle de um servidor de domínio do Windows para implantar facilmente malware na rede de uma empresa.
O problema afeta o Windows Print Spooler e, devido à longa lista de bugs que afetaram esse componente ao longo dos anos, os pesquisadores que detalharam a vulnerabilidade o chamaram de PrintNightmare.
Agora, a Microsoft publicou um comunicado para outra vulnerabilidade zero-day do spooler de impressão do Windows, rastreada como CVE-2021-36958, que permite que invasores locais obtenham privilégios de sistema em um computador.
Esta vulnerabilidade usa a diretiva de registro CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com um driver de impressão quando o usuário se conecta a uma impressora. Embora as atualizações de segurança recentes da Microsoft tenham alterado o procedimento de instalação do novo driver de impressora para que ele exija privilégios de administrador, não é preciso inserir privilégios de administrador se o driver já estiver instalado em um dispositivo.
Além disso, a conexão com uma impressora remota ainda executará a diretiva CopyFile para usuários não-administradores. Este ponto fraco permite que a DLL do Delpy seja copiada para o usuário e executada para abrir um prompt de comando a nível de sistema.
A Microsoft ainda não lançou uma atualização de segurança para esta falha, mas afirma que é possível remover o vetor de ataque desabilitando o Spooler de Impressão.
Mas como desativar o spooler de impressão impedirá que seu dispositivo imprima qualquer coisa, um método mais eficaz é permitir que seu dispositivo instale apenas impressoras de servidores autorizados.
Essa restrição pode ser feita usando a política “Apontar e imprimir – servidores aprovados”, evitando que usuários não-administrativos instalem drivers de impressão usando essa configuração.
Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!