cibercriminosos reciclam o ransomware, eles estão ficando mais rápidos

Cibercriminosos reciclam o ransomware, eles estão ficando mais rápidos. Mantenha sua resposta atualizada à medida que os invasores ficam mais rápidos.

Como a história, o ransomware se repete. Pesquisadores encontraram recentemente uma nova variante de uma campanha de ransomware e observaram que ela vem se aprimorando ao reutilizar código de fontes publicamente disponíveis. Vamos dar uma olhada mais de perto nessa variante, bem como no que as organizações precisam fazer para permanecerem seguras à luz do cenário atual de reciclagem de ameaças.

Campanha de reciclagem do ransomware

Nokoyawa é um novo ransomware para Windows que apareceu pela primeira vez no início deste ano. As primeiras amostras encontradas pelos pesquisadores do FortiGuard foram coletadas em fevereiro de 2022 e contêm semelhanças de codificação significativas com o Karma, um ransomware que pode ser rastreado até o Nemty por meio de uma longa série de variantes. A família de ransomware Nemty foi relatada pela primeira vez por esses pesquisadores em 2019. 

Os pesquisadores de segurança descobriram recentemente uma nova variação dessa campanha de ransomware e notaram que a variante vem se aprimorando ao reutilizar código de fontes publicamente disponíveis. As amostras de abril de 2022 incluem três novos recursos que aumentam o número de arquivos que o Nokoyawa pode criptografar. Esses recursos já existiam em famílias de ransomware recentes, e sua adição apenas indica que os desenvolvedores do Nokoyawa estão tentando acompanhar o ritmo de outros operadores em termos de capacidade tecnológica.

A maior parte do código adicional foi copiada exatamente de fontes que estavam disponíveis publicamente, incluindo a fonte do agora extinto ransomware Babuk vazado em setembro de 2021. Por exemplo, os criminosos incluíam funções para interromper processos e serviços que reduzem o número de arquivos bloqueados por outros programas para que o código de criptografia possa criptografar esses arquivos. O código – incluindo uma lista de processos e nomes de serviços – é idêntico à implementação do Babuk.

Nokoyawa também inclui código para enumerar e montar volumes para criptografar os arquivos nesses volumes, que é baseado novamente no mesmo código que vazou da fonte Babuk. Ele exclui instantâneos de volume redimensionando o espaço alocado para instantâneos de cópias de sombra de volume para 1 byte – e como esse tamanho é insuficiente para armazenar instantâneos, o Windows os excluirá. O código parece ser plagiado a partir de uma prova de conceito disponível publicamente. 

Inseguro a qualquer velocidade – e cada vez mais rápido 

O Nokowaya é apenas mais uma indicação de que os agentes mal-intencionados podem se mover mais rápido do que nunca – neste caso  , modificando o malware existente com o mínimo de esforço usando código reciclado. 

Não é o único exemplo que vimos. No ano passado, vimos isso acontecer com o Log4j . A vulnerabilidade crítica na estrutura de log baseada em Java do Apache Log4j era tão simples de explorar que permitia que os invasores assumissem o controle total dos sistemas afetados. Em questão de dias, o Log4j se tornou a detecção de IPS mais comum no segundo semestre de 2021. Também vimos que os criminosos usaram um rebranding do DarkSide chamado BlackMatter em vários ataques à infraestrutura dos EUA. 

Embora a reciclagem desse tipo não seja exatamente nova, está definitivamente se tornando uma tática mais popular para os maus atores – com o surgimento do Ransomware-as-a-Service tornando-o ainda mais fácil.

Duas estratégias para uma segurança mais forte

Primeiro, as organizações precisam de uma compreensão mais profunda das técnicas de ataque. Nossos pesquisadores analisaram a funcionalidade do malware detectado e criaram uma lista de táticas, técnicas e procedimentos específicos (TTPs) que o malware teria realizado se os ataques tivessem ocorrido. Essas informações demonstram que interromper um invasor antecipadamente é mais importante do que nunca e que o foco em alguns dos TTPs detectados pode efetivamente interromper os recursos de ataque de um malware em alguns casos.

As três principais estratégias para a fase de “execução”, por exemplo, representam 82% da atividade. Quase 95% da funcionalidade medida é representada pelas duas principais abordagens para ganhar uma posição na fase de “persistência”. Usar essa pesquisa para priorizar estratégias de segurança pode ter um impacto significativo em como as empresas maximizam sua proteção.

Em segundo lugar, o treinamento de higiene cibernética é uma necessidade para todos na organização, com trabalhadores domésticos, não apenas organizações, sendo alvos de ataques cibernéticos. Para esse fim, agora existem muitos cursos gratuitos de segurança cibernética disponíveis, incluindo programas mais avançados para profissionais de segurança cibernética. Aprender os fundamentos da guerra cibernética pode ajudar todos a defender suas organizações contra ataques. A autenticação multifator e a proteção por senha podem ajudar a proteger as informações pessoais dos trabalhadores remotos, e saber como identificar e-mails de phishing e esquemas de malvertising ajudará os funcionários a evitar cair nessas manobras de engenharia social.

Ficar à frente do adversário

Tudo antigo é novo novamente no mundo do desenvolvimento de ransomware. Maus atores são altamente eficientes; eles descobrem o que funcionou antes e o incorporam em suas novas variantes. É um tipo de malware melhor dos melhores que ninguém, exceto os criminosos, quer ver. Ransomware-as-a-Service apenas exacerba o potencial destrutivo dessas novas variantes. Mas as organizações podem fortalecer sua postura de segurança obtendo informações detalhadas sobre as técnicas de ataque atuais e mantendo o treinamento de higiene cibernética de seus funcionários atualizado.

Exploração em 15 Minutos

Hackers verificam vulnerabilidades em até 15 minutos após a divulgação, em poucas horas, as primeiras tentativas de exploração ativas são observadas e administradores são desafiados a serem ainda mais rápidos.

Os administradores de sistema têm ainda menos tempo para corrigir as vulnerabilidades de segurança divulgadas do que se pensava anteriormente, pois um novo relatório mostra os agentes de ameaças verificando endpoints vulneráveis ​​em até 15 minutos após a divulgação pública de um novo CVE.

De acordo com o Relatório de Resposta a Incidentes da Unidade 42 de Palo Alto em 2022  , os hackers estão constantemente monitorando os quadros de avisos dos fornecedores de software em busca de novos anúncios de vulnerabilidade que podem alavancar para acesso inicial a uma rede corporativa ou para executar a execução remota de código.

No entanto, a velocidade com que os agentes de ameaças começam a verificar vulnerabilidades coloca os administradores de sistema na mira enquanto correm para corrigir os bugs antes que sejam explorados.

“O Relatório de Ameaças de Gerenciamento de Superfície de Ataque de 2022 descobriu que os invasores normalmente começam a verificar vulnerabilidades dentro de 15 minutos após o anúncio de um CVE”, diz uma  postagem de blog complementar .

Como a varredura não é particularmente exigente, mesmo invasores pouco qualificados podem varrer a Internet em busca de endpoints vulneráveis ​​e vender suas descobertas em mercados da dark web, onde hackers mais capazes sabem como explorá-los.

Então, em poucas horas, as primeiras tentativas de exploração ativas são observadas, muitas vezes atingindo sistemas que nunca tiveram a chance de corrigir.

A Unidade 42 apresenta  o CVE-2022-1388  como exemplo, uma vulnerabilidade crítica de execução de comando remoto não autenticado que afeta os produtos F5 BIG-IP.

A falha foi divulgada em 4 de maio de 2022 e, de acordo com a Unidade 42, dez horas se passaram desde o anúncio do CVE, eles registraram 2.552 tentativas de varredura e exploração.

Esta é uma corrida entre defensores e atores maliciosos, e as margens para atrasos de ambos os lados estão diminuindo a cada ano que passa.

Fonte: SecurityWeek por Derek Manky

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!