Novo Ransomware sem arquivo pode infectar através de injeção de código

Pesquisadores de segurança descobriram recentemente um novo ransomware sem arquivo, denominado ” Sorebrect, que injeta o código malicioso em um processo legítimo do sistema (svchost.exe) atacado e se autodestrói para se esconder.

Ao contrário do ransomware tradicional, o Sorebrect foi projetado para infectar servidores e endpoints corporativos. O código injetado realiza o processo de criptografia de arquivos na máquina local e nos compartilhamentos de rede conectados.

filesless-ransomware-malware

Este ransomware sem arquivo primeiro compromete credenciais de administrador por força bruta ou por algum outro meio e, em seguida, usa o utilitário de linha de comando Sysinternals PsExec da Microsoft para criptografar arquivos.

O PsExec pode permitir que os atacantes executem comandos executados remotamente, em vez de fornecer e usar uma sessão inteira de login interativo, ou transferir manualmente o malware para uma máquina remota, como nos RDPs“, diz Trend Micro.

Sorebrect também criptografa compartilhamentos de rede

O Sorebrect também verifica a rede local para outros computadores conectados com compartilhamentos abertos e arquivos de bloqueios disponíveis neles também.

Se o compartilhamento foi configurado de forma que qualquer pessoa ligada a ele tenha acesso de leitura e gravação, o compartilhamento também será criptografado“, dizem os pesquisadores.

O ransomware, em seguida, exclui todos os logs de eventos (usando wevtutil.exe) e shadows copies (usando vssadmin) na máquina infectada que podem fornecer evidências forenses, como arquivos executados no sistema e seus timestamps, o que torna essa ameaça difícil de ser detectada.

Além disso, a Sorebrect usa o protocolo de rede Tor em uma tentativa de anonimizar sua comunicação com seu servidor de comando e controle (C&C), como quase todos os outros malwares.

Sorebrect Ransomware Spreads Worldwide

O Ransomware sem arquivo Sorebrect foi projetado para atacar sistemas de várias indústrias, incluindo fabricação, tecnologia e telecomunicações.

De acordo com a Trend Micro, a Sorebrect visava inicialmente países do Oriente Médio como o Kuwait e o Líbano, mas desde o mês passado, essa ameaça começou a infectar pessoas no Canadá, na China, na Croácia, na Itália, no Japão, no México, na Rússia, em Taiwan e nos EUA.
Dado o potencial impacto e rentabilidade do Ransomware, não seria uma surpresa se o SOREBRECT aparecer em outras partes do mundo, ou mesmo no submundo cibernético onde pode ser vendido como um serviço“, observam os pesquisadores.
Esta não é a primeira vez que os pesquisadores se deparam com o malware Fileless. Dois meses atrás, os pesquisadores da Talos descobriram um ataque DNSMessenger que era completamente Fileless e usava as capacidades de mensagens DNS TXT para comprometer os sistemas.

Em fevereiro, pesquisadores da Kaspersky também descobriram malware sem arquivo que residia exclusivamente na memória dos computadores comprometidos, que foi encontrado em bancos, empresas de telecomunicações e organizações governamentais em 40 países.

Formas de proteger contra ataques Ransomware

Uma vez que o ransomware não atinge indivíduos, mas organizações, administradores de sistemas e profissionais da segurança da informação podem se proteger por:

  • Restringindo as permissões de escrita do usuário: fator significativo que expõe compartilhamentos de rede ao ransomware, dando permissões completas aos usuários.
  • Limitando o privilégio do PsExec: Limite o PsExec e forneça permissão para executá-los somente para administradores de sistema.
  • Mantendo seu sistema e rede atualizados : mantenha sempre o seu sistema operacional, software e outros aplicativos atualizados.
  • Fazendo backup de seus dados regularmente: tenha sempre um bom controle de todos os seus arquivos e documentos importantes, mantenha uma boa rotina de backup e faça suas cópias para um dispositivo de armazenamento externo que nem sempre esteja conectado ao seu PC.
  • Educando os profissionais da empresa em ciber segurança: eduque seus funcionários sobre malware, vetores de ameaças e medidas de segurança, o fator humano sempre tem papel importante em qualquer organização.

 

fonte: The Hacker News by Swait Khandelwal
por Mindsec  16/06/2017
 
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.