E-mail


Senha

Lembrar senha

   
Informe o e-mail usado para fazer o login


   



Pesquisa




CLM e Picus analisam cinco principais ciberameaças que surgiram em julho
Enviar release
Este release no seu Blog ou Site

Novos grupos e famílias de malwares exigem agilidade na resposta e evidenciam a necessidade de simular violações nos sistemas de proteção

Em mais um mês agitado para os CISOS, o relatório da Picus Security, pioneira em simulação de violação e ataque (BAS - Breach and Attack Simulation), mostra o surgimento de campanhas de ciberataques deflagradas por novos grupos de hackers e famílias de malware. Entre as mais significativas estão: Ransomware Maui, que utiliza um método de criptografia híbrido envolvendo AES, criptografia RSA e codificação XOR o que aumenta seu impacto; Green Stone Malware Dropper, que envia documentos Open XML contendo uma macro maliciosa, que descompacta e roda um executável, com recursos de espionagem, em um diretório temporário, o que evita sua a detecção pela maioria dos antivírus.

O Ransomware HavanaCrypt foi mais um que apareceu em julho. Ele se disfarça como um aplicativo legítimo do Google Software e usa um endereço IP pertencente a um serviço de hospedagem da Microsoft como seu servidor C2 para evitar a detecção. Outro ataque foi o de um Ransomware que usa o método de dupla extorsão: rouba os dados confidenciais, os criptografa e libera uma nota de resgate com um endereço de bate-papo no Browser Tor, o mais utilizado para acessar a DeepWeb (e, portanto, a DarkWeb). Já o Ransomware H0lyGh0st, embora atue desde 2021, o grupo agora contra-ataca com uma variante desse malware mais persistente e melhorada, o BTLC.exe.

“Sem resiliência cibernética, empresas, entidades do governo e outras organizações estão fadadas a se tornarem as próximas vítimas de ransomware e de inúmeros outros ciberataques, como temos visto em todo o mundo”, alerta Tom Camargo, VP da CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud.

Para o executivo da CLM, que distribui a tecnologia da Picus na América Latina, neste cenário extremamente dinâmico e marcado pelo surgimento de novos grupos de cibercriminosos, agindo com novas formas de ataque, a agilidade na resposta se mostra cada vez mais essencial para evitar o sequestro de dados e outros males causados por um número crescente de ameaças virtuais. “O suporte de tecnologias que simulam rapidamente a periculosidade permite testar a eficácia dos controles de segurança. O Picus Labs incluiu simulações dos diversos ataques registrados em julho na Picus Threat Library, atualizando em tempo real a plataforma Picus Complete Security Control Validation”.

Veja os detalhes dos cinco principais ataques neste período abaixo:

1. Ransomware Maui
A Agência de Segurança Cibernética e Infraestrutura (CISA), o Departamento do Tesouro dos EUA e o Federal Bureau of Investigation (FBI) divulgaram um comunicado conjunto, em 06 de julho, sobre um agente de ameaças virtuais, baseado na Coreia do Norte que usava, o ransomware Maui. Grupos afiliados a este ransomware são conhecidos principalmente por infligir ataques de ransomware, ao que parece, patrocinados pelo governo Norte Coreano em setores de saúde. O Maui emprega um único método de extorsão, portanto, não exfiltra dados ou remove backups do sistema.

O curioso é que ele não emprega técnica de movimento lateral (quando o invasor se espalha de um ponto ou conta não confidencial para o restante da rede) e não envia nota instruindo suas vítimas a pagar o resgate. No entanto, o Maui utiliza um método de criptografia híbrido combinando AES, criptografia RSA e codificação XOR para aumentar o impacto. Enquanto o algoritmo RSA gera um novo par de chaves pública-privada, o algoritmo AES criptografa cada arquivo no modo CBC. Depois que cada arquivo é criptografado com uma chave secreta exclusiva, essas chaves secretas são criptografadas com a chave pública que é gerada logo no início do ataque. A Picus Threat Library incluiu as seguintes ameaças para o ransomware Maui:

ID ameaça Nome da ameaça
56700 Maui Ransomware Download Threat (Network Infiltration)
64940 Maui Ransomware Email Threat (Email Infiltration (Phishing))

2. Green Stone Malware Dropper
No fim de julho, muitas empresas iranianas receberam um documento Office Open XML contendo uma macro maliciosa, cujas funções descompactam e rodam um executável em um diretório temporário, o que é uma prática comum empregada nos ciberataques para evitar a detecção. Análises posteriores mostraram que o executável possui recursos de espionagem cibernética. Ele coleta informações sobre o sistema operacional, faz capturas de tela e envia os dados coletados para um servidor remoto.

“Como muitos grupos que usam APT (advanced persistent threat) preferem incorporar conteúdos maliciosos em um documento que parece inofensivo, as empresas precisam saber das possíveis ameaças provenientes de e-mails e avaliar a eficácia da sua proteção XDR contra Spam, Phishing e diversos malwares, como o Green Stone Malware Dropper”, recomenda Camargo.

A Picus Threat Library inclui as seguintes ameaças para o dropper de malware Green Stone:

ID ameaça Nome da ameaça
69096
Green Stone Malware Dropper Email Threat (Email Infiltration (Phishing))
70452 Green Stone Malware Dropper Download Threat (Network Infiltration)

3. O Ransomware HavanaCrypt
O ano de 2022 foi marcado pela distribuição de malware disfarçado em programas legítimos e atualizações de software, como as do Windows 10, Google Chrome e Microsoft Exchange. Este mês, uma nova família de malwares, o HavanaCrypt, foi encontrada em estado nativo. Este malware se disfarça de aplicativo legítimo do Google Software e usa um endereço IP pertencente a um serviço de hospedagem na Microsoft Azure, que é o servidor C2, para parecer legítimo. Análises posteriores mostraram que o malware usa a função QueueUserWorkItem para implementar um leque de ameaças para seus outros payloads e um método de namespace .NET System.Threading, que permite uma sequência de métodos de execução. O HavanaCrypt usa os módulos KeePass Password Safe, um gerenciador de senhas de código aberto, durante o processo de criptografia de arquivos.

Este malware é um aplicativo compilado em .NET e protege seu código em um assembly .NET usando o Obfuscar, um ofuscador .NET de código aberto.

O malware HavanaCrypt foi projetado para ter várias técnicas antivirtualização para evitar a análise dinâmica no caso de ser executado em uma máquina virtual. Ele ainda verifica os serviços usados principalmente por máquinas virtuais, como VMware Tools, VMTools e mouse wm. Para analisar esse malware, os pesquisadores usaram ferramentas de desofuscação como DeObfuscar e de4dot.

Constatou-se que os diretórios do Browser Tor estão entre os alvos que o HavanaCrypt evita criptografar. Os atacantes podem ter planejado manter a comunicação com suas vítimas pelo navegador Tor. Outra coisa estranha que chama a atenção é que os criminosos não enviam notas de resgate. “Com isso em mente, os pesquisadores acham que o HavanaCrypt ainda está em processo de desenvolvimento. No entanto, é importante que as organizações testem seu sistema contra essa nova família de malware”, avisa o CEO da CLM.

A Picus Threat Library inclui as seguintes ameaças para o HavanaCrypt:

ID ameaça Nome da ameaça
24728 HavanaCrypt Ransomware Email Threat (Email Infiltration (Phishing))
91290 HavanaCrypt Ransomware Download Threat (Network Infiltration)

4. Ransomware Lilith
Um ransomware baseado no console C/C++ chamado Lilith foi descoberto em seu estado nativo. Esse malware foi projetado para a arquitetura Windows x64 e, como muitas outras operações de ransomware, o Lilith usa o método de dupla extorsão: rouba os dados confidenciais, os criptografa e envia uma nota de resgate fornecendo um endereço de bate-papo no navegador Tor no sistema de destino.

A análise mostra que o malware Lilith não criptografa todos os tipos de arquivos no sistema de destino. Por exemplo, EXE, DLL, SYS e Arquivos de Programas, navegadores da Web e Pastas da Lixeira são excluídos do processo de criptografia. Além desses arquivos, um arquivo estranho encontrado no sistema da vítima chama a atenção: ecdh_pub_k.bin. Esse arquivo também é excluído do processo de criptografia e armazena a chave pública local das infecções por ransomware BABUK, indicando que essas duas famílias de malware podem estar vinculadas de alguma forma.

O malware executa a criptografia usando uma API criptográfica do Windows e a função CryptGenRandom do Windows para gerar uma chave aleatória. Embora os pesquisadores digam que a nova família Lilith não apresenta nenhuma novidade, é um dos mais recentes que as organizações precisam testar seus sistemas. A Picus Threat Library inclui as seguintes ameaças para o ransomware Lilith:

ID ameaça Nome da ameaça
35395 Lilith Ransomware Email Threat (Email Infiltration (Phishing)) Lilith Ransomware Download Threat (Network Infiltration)
94407 Lilith Ransomware Download Threat (Network Infiltration)

5. Ransomware H0lyGh0st
O H0lyGh0st é um grupo de ameaças de extorsão cibernética da Coreia do Norte conhecido por desenvolver payloads de malware e perpetrar ataques de ransomware desde junho de 2021. Em 2018, eles lançaram muitos ataques bem-sucedidos contra empresas de pequeno e médio porte, como bancos, fabricantes, escolas e de eventos e companhias de planejamento de reuniões em todo o mundo.

Embora o H0lyGh0st esteja atuante desde 2021 e rastreado pelo MSTIC (Microsoft Threat Intelligence Center) na época, o grupo agora contra-ataca com uma variante de malware mais persistente e melhorada: BTLC.exe. A Picus Threat Library inclui as seguintes ameaças para o ransomware H0lyGh0st:

ID ameaça Nome da ameaça
20076 H0lyGh0st Ransomware Malware Download Threat (Network Infiltration)
41450 H0lyGh0st Ransomware Malware Email Threat (Email Infiltration (Phishing))
97451 DEV-0530 Threat Group Campaign Malware Download Threat (Network Infiltration)
75946 DEV-0530 Threat Group Campaign Malware Email Threat (Email Infiltration (Phishing))

Editorias: Ciência e Tecnologia  Informática  Internet  Serviços  Telecomunicações  
Tipo: Pauta  Data Publicação:
Fonte do release
Empresa: MakingNews  
Contato: Edilma Rodrigues  
Telefone: 11-3509-2109-

Envie um e-mail para o(a) responsável pela notícia acima:
Seu nome

Seu e-mail

Mensagem

Digite o código mostrado abaixo

  
Skype: edilmarodri
MSN:
Twitter:
Facebook:
Copyright 2008 - DIFUNDIR - Todos os direitos reservados. Não é permitida a reprodução deste conteúdo sem prévia autorização.