Fontes recomendadas para informações de ransomware

Fontes recomendadas para informações de ransomware. SANS Threat Analysis Rundown relacionou fontes confiáveis que podem ser usadas para rastrear o ecossistema de ransomware.

Existem muitos recursos gratuitos excelentes para ajudar os profissionais de segurança cibernética a prevenir e detectar ransomware – mas você precisa saber onde procurar! Na recente transmissão ao vivo do SANS Threat Analysis Rundown (STAR) , o SANS falou sobre muitas fontes que usadas para rastrear o ecossistema de ransomware. Aqui estão alguns dos principais recursos que abordaram e listaram no SANS Blog .

Claro que o SANS recomenda que você certifique-se de verificar todas as fontes – especialmente antes de enviar qualquer dado!

Fontes Gerais

• https://thedfireport.com/
  • Eles também têm uma conta Patreon: https://www.patreon.com/thedfirreport
• https://otx.alienvault.com/dashboard/new

• https://www.malware-traffic-analysis.net
• http://tweettioc.com/feed/

• https://id-ransomware.blogspot.com/
• https://id-ransomware.malwarehunterteam.com/ (faça uma avaliação de risco antes de carregar qualquer dado!)
• https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/ Planilha de Florian Roth para dados históricos (não atualizada no momento)
• https://www.virustotal.com (apenas pesquise, não faça upload de amostras confidenciais!)

Locais de vazamento

Várias fontes raspam sites da dark web onde os operadores de ransomware publicam nomes de vítimas, bem como dados exfiltrados. É útil que os pesquisadores estejam cientes se sua organização estiver listada em um desses sites. Antes de acessar esses sites, e principalmente antes de baixar quaisquer dados roubados diretamente deles, converse com seus advogados!

• https://github.com/captainGeech42/ransomwatch

Aqui está um exemplo de como isso pode ser integrado ao Slack:

• https://ransomwatch.org

• https://darkfeed.io/indexransomware/

Pesquisa Darknet/Tor

Se você estiver interessado em configurar seu próprio navegador TOR para acessar esses sites, aqui está um vídeo que mostra como fazer isso de maneira mais segura:

• https://www.youtube.com/watch?v=LAcGiLL4OZU

Para obter mais informações sobre o projeto TorBrowser, consulte:

• https://tb-manual.torproject.org/about/
• E para downloads:
  • https://www.torproject.org/download/

E, finalmente, conheça o Tails, o sistema operacional projetado para anonimato e construído com o Tor sempre ativado:

• https://tails.boum.org/

Twitter

O Twitter é uma excelente fonte de informações sobre o próprio ransomware, bem como sobre as muitas famílias de malware precursoras de ransomware. TweetDeck ( https://tweetdeck.twitter.com/ ) pode ajudar a organizar várias contas e hashtags de interesse, e as listas do Twitter também podem ajudar nisso. Como todas essas fontes, você precisará selecionar as contas que segue e determinar quais funcionam para suas necessidades. Existem tantas contas boas que não podemos listar todas aqui, mas se você começar com esta lista, o Twitter recomendará outras contas semelhantes para você.

• https://twitter.com/search?q=%23ransomware
• https://twitter.com/darktracer_int
• https://twitter.com/cobaltstrikebot
• https://twitter.com/RdpSnitch
• https://twitter.com/malwrhunterteam
• https://twitter.com/malware_traffic
• https://twitter.com/vxunderground
• https://twitter.com/JAMESWT_MHT
• https://twitter.com/ffforward
• https://twitter.com/demonslay335
• https://twitter.com/GossiTheDog
• https://twitter.com/BushidoToken
• https://twitter.com/stvemillertime/
• https://twitter.com/bryceabdo
• https://twitter.com/VK_Intel
• https://twitter.com/uuallan
• https://twitter.com/BleepinComputer
• https://twitter.com/selenalarson
• https://twitter.com/cyb3rops

Blogues

Recomendamos configurar um feed RSS com as postagens do blog de várias organizações da comunidade. Existem muitas opções de feeds RSS, incluindo uma versão gratuita do Feedly. Você também pode querer seguir essas empresas no Twitter.

Muitos desses blogs são mantidos por fornecedores, que compartilham regularmente informações sobre os incidentes observados. Novamente, existem muitas fontes para listarmos aqui, então esta é apenas uma amostra do que está por aí. Lembre-se de que as diferentes empresas veem diferentes partes do ecossistema de ransomware, por isso pode ser útil rastrear muitas perspectivas.

BlackBerry

• Página de destino do blog Threat Research: https://blogs.blackberry.com/en/author/the-blackberry-research-and-intelligence-team
• https://blogs.blackberry.com/en/2021/06/pysa-loves-chachi-a-new-golang-rat
• https://blogs.blackberry.com/en/2021/05/threat-thursday-conti-ransoms-over-400-organizations-worldwide
• https://blogs.blackberry.com/en/2019/12/zeppelin-russian-ransomware-targets-high-profile-users-in-the-us-and-europe

Red Canary

• https://redcanary.com/blog/how-one-hospital-thwarted-a-ryuk-ransomware-outbreak/
• https://redcanary.com/threat-detection-report/
• https://redcanary.com/blog/rclone-mega-extortion/

https://www.coveware.com/blog

https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html

https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

https://www.secureworks.com/research/lv-ransomware

https://research.nccgroup.com/2021/06/15/handy-guide-to-a-new-fivehands-ransomware-variant/

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/modern-ransomwares-double-extortion-tactics-and-how-to-protect-enterprises-against-them

https://www.sentinelone.com/blog/meet-darkside-and-their-ransomware-sentinelone-customers-protected/

https://www.welivesecurity.com/wp-content/uploads/2021/05/eset_threat_report_t12021.pdf

https://adversary.crowdstrike.com/en-US/adversary/pinchy-spider/

https://go.recordedfuture.com/hubfs/reports/cta-2021-0211.pdf

https://www.digitalshadows.com/blog-and-research/q1-ransomware-roundup/

https://www.prodaft.com/m/reports/LockBit_Case_Report___TLPWHITE.pdf

https://news.sophos.com/en-us/2021/06/11/relentless-revil-revealed/

https://news.sophos.com/en-us/2021/05/28/epsilonred/

Script de decodificador relacionado conforme observado na transmissão ao vivo: https://github.com/rj-chap/random_scripts/blob/main/python/epsilon_red_powershell_decoder.py

https://blogs.vmware.com/secur…

https://pan-unit42.github.io/playbook_viewer/?pb=maze-ransomware

https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

Assista ao episódio de transmissão ao vivo da STAR Live Stream sobre Ransomware

Fonte: SANS Blog

Veja também:

• Empresa de turbinas eólicas Nordex atingida por ataque de ransomware
• Hackers usam atualização falsa do Win11 para roubar carteiras de criptomoedas
• iPhone com zero clique recém-descoberta usada em ataques de spyware
• Golpistas de olho no MetaMask: como você pode se manter seguro?
• Ransomware chama atenção mas BEC lidera
• Olhando dentro da caixa de Pandora
• A colaboração é crucial para combater o cibercrime
• Vulnerabilidades apontam importância de APIs.
• Você está cuidando bem de seus perfis nas redes sociais?
• O caos (e o custo) provado pelos hackers da Lapsus$
• Consumer Authentication Strength Maturity Model (CASMM) V6
• Como demonstro o ROI do meu programa de segurança?