Ameaças do PowerShell cresceram 208% no quarto trimestre de 2020

16/04/2021 mindsecblog Notícias 4

Ameaças do PowerShell cresceram 208% no quarto trimestre de 2020. O relatório de ameaças mais recente da McAfee mostrou um aumento acentuado nas ameaças do PowerShell entre o terceiro e o quarto trimestre de 2020, em parte devido ao malware conhecido como Donoff e um aumento nas detecções de ransomware.

Um novo relatório da McAfee mostrou tendências preocupantes de segurança no terceiro e quarto trimestres de 2020, incluindo um grande aumento nas ameaças do PowerShell.

O fornecedor de segurança lançou a última edição de seu “Relatório de ameaças do McAfee Labs”, que acompanha o desenvolvimento de tendências de ataques cibernéticos em todo o mundo. Entre os tópicos cobertos, que incluem áreas como ataques com o tema COVID-19 e ransomware, estavam as ameaças do PowerShell , que cresceram 208% entre o terceiro e o quarto trimestre do ano passado.

O relatório atribui o aumento em parte ao malware Donoff, uma ameaça de vários anos que assume a forma de um arquivo malicioso do Microsoft Office; o arquivo às vezes é baixado como um anexo de email e executa um script do PowerShell para obter acesso e instalar outros malwares.

Raj Samani, cientista-chefe e membro da McAfee, disse ao SearchSecurity que Donoff criar novos processos foi um dos principais contribuintes para o aumento. Além disso, ele disse que o PowerShell estava sendo usado em ataques cibernéticos como um vetor de movimento lateral.

“O uso de movimento lateral do PowerShell está impulsionando a capacidade dos bandidos de cobrar US $ 50 milhões por ransomware“, disse Samani.

O PowerShell está se tornando uma técnica de ataque cada vez mais comum. O fornecedor de detecção e resposta gerenciada Red Canary chamou o PowerShell de “a técnica mais comum que observamos em 2020, afetando quase metade de nossos clientes” em seu relatório de detecção de ameaças de 2021 .

Red Canary disse que a estrutura, incluída por padrão nas versões modernas do Windows, é usada por invasores para fins de ofuscação, acrescentando que “os adversários contam com a versatilidade do PowerShell e a presença onipresente nos sistemas de destino, minimizando a necessidade de personalizar adicionalmente as cargas úteis.”

As preocupações sobre os riscos associados ao PowerShell aumentaram nos últimos anos, mas Samani disse que é uma ferramenta com usos bons e ruins e que sempre há mecanismos alternativos para obter acesso a um ambiente. “Meu conselho, como sempre, é, se você vai executar o PowerShell – se você vai ou não é a decisão de apetite de risco – você precisa ter mecanismos para monitorar seu uso“, disse ele. “Você faz a ligação para saber se deseja habilitá-lo ou desabilitá-lo, mas só porque você escreveu em um pedaço de papel que diz: ‘Nossa política é não usar X’, isso não significa não está sendo usado. Antecipe-o e monitore-o em seu ambiente. “

Além do PowerShell, duas outras estatísticas notáveis incluem aquelas relacionadas a novas variantes de ransomware e a pandemia COVID-19. O volume de ataques com novas amostras de ransomware aumentou 69% entre o terceiro e o quarto trimestre do ano passado, de pouco mais de 3 milhões de ataques para 5,1 milhões.

Quanto aos ataques relacionados ao COVID-19, 1.224.628 dispositivos protegidos pela McAfee relataram ameaças no quarto trimestre de 2020, em comparação com 1.071.257 no terceiro trimestre e 445.922 no segundo trimestre. E de acordo com o painel COVID-19 da McAfee , que fornece estatísticas atualizadas de detecção de ameaças, os dispositivos da McAfee detectaram mais de 10 milhões de ameaças relacionadas à pandemia entre 2 de maio de 2020 e abril 2021.

Samani disse que a crescente presença de ameaças cibernéticas relacionadas ao COVID-19 é uma evolução das populares campanhas de spam e disse que as mensagens em torno das ameaças se adaptaram ao momento. O que originalmente era um aplicativo móvel falso para medir a temperatura do usuário, agora é um email informando que a consulta da vacina foi marcada.

“O spam sempre vai saltar sobre o que é a última coisa. Eles não estão falando sobre o mesmo assunto que estávamos conversando com COVID 12 meses atrás, mas é uma evolução disso. Acho que eles vão continuar com isso porque está na imprensa e nas notícias, mas da mesma forma, se houver algo que acontece como outra, Deus me livre, infecção ou qualquer outra coisa, vai apenas mudar “, disse Samani.

As ameaças vão além de enganar os consumidores. Em dezembro, a força-tarefa de inteligência contra ameaças COVID-19 da IBM Security X-Force relatou a descoberta de uma campanha de phishing destinada a organizações envolvidas na cadeia de vacinas, incluindo fabricantes de gelo seco e isolamento térmico.