Ransomware é a ameaça cibernética mais destruidora que enfrentamos nos dias atuais, essa ameaça afeta praticamente todos os setores e tem origens diversas, fato que as equipes de segurança precisam levar em consideração para sua estratégia de defesa. Para piorar as coisas, a ameaça de ransomware não para de evoluir, os ataques estão se transformando de ataques de phishing de base ampla em uma grande rede de ataques altamente direcionados a organizações específicas e você deve proteger sua organização contra ambas as formas de ataque.

Hoje, os invasores não exploram apenas o computador de um usuário final para obter acesso inicial a uma rede. Eles acrescentaram métodos comprovados de ataque de phishing para se propagar rapidamente pelas redes e outros dispositivos e ativos. Estamos agora em um mundo em que praticamente qualquer dispositivo, aplicação, sistema operacional ou rede pode se tornar o ponto de entrada de um invasor. A superfície de ataque em expansão e os ambientes repletos de vulnerabilidades fazem com que seja quase impossível evitar que os invasores comprometam pelo menos um ponto de entrada.

Além disso, os invasores não seguem mais um caminho linear até o alvo, eles adotam uma abordagem dinâmica com base no ambiente do dispositivo comprometido. As táticas do invasor costumam incluir evasão de defesas, execução de código malicioso, coleta de credenciais, enumeração da rede e do Active Directory (AD) e ataques a senhas. O invasor coleta informações, analisa o ambiente, explora vulnerabilidades e configurações incorretas, tudo no esforço de se mover lateralmente para repetir o ciclo e, por fim, obter ainda mais privilégios. O AD é quase sempre o primeiro alvo dos invasores nesse caso, porque ele é o principal método de autenticação e autorização usado pela grande maioria das organizações. Depois que o invasor obtém privilégios no AD, o trabalho está quase concluído. As etapas finais incluem copiar os dados-alvo, implementar ransomware (geralmente via política de grupos), estabelecer persistência e backdoors, excluir arquivos de backup e acionar a criptografia da infraestrutura de rede.

O ransomware-as-a-service (RaaS) DarkSide, um dos ataques mais divulgados em 2021, suspendeu quase metade do suprimento de combustível para a Costa Leste dos EUA por mais de uma semana. Os detalhes que surgiram sobre o ransomware DarkSide são reveladores e indicativos de onde as organizações devem focar seus esforços para proteger suas redes. Os invasores raramente usam a mesma via para entrar, se mover lateralmente e obter privilégios em uma organização, mas os alvos são os mesmos.

Ponto de entrada

O DarkSide usa phishing, abuso de protocolo de desktop remoto (RDP) e exploração de vulnerabilidades conhecidas e configurações incorretas como as principais táticas para obter acesso a uma rede. Semelhante aos outros ransomwares modernos, a entrada inicial em uma rede não é tudo o que o invasor precisa para implementar o ransomware. Os invasores usam muitas outras táticas para ir do ponto de entrada aos dados ou aos resultados desejados.

Enumeração e reconhecimento

Os invasores precisam reunir informações para saber por onde podem se mover em uma rede. Frequentemente, essa enumeração indica o Active Directory, que contém informações sobre contas, privilégios e recursos de rede. O DarkSide costuma usar ferramentas como PowerShell e Bloodhound para coletar essas informações. Essas ferramentas funcionam com privilégios somente leitura para obter as informações necessárias de um controlador de domínio. Depois que a enumeração do Active Directory é concluída, o invasor determina quais objetos e configurações podem ser atacados e quais podem ser explorados. Se o invasor tiver coletado credenciais no ponto de entrada, ele poderá comparar rapidamente as credenciais obtidas com os dados enumerados para verificar se alguma credencial existente tem privilégios no Active Directory. Se for esse o caso, nenhum outro ataque será necessário para se obter controle total do Active Directory.

Movimento lateral e escalonamento de privilégios

Claramente, o DarkSide tem o Active Directory e os controladores de domínio como os principais alvos para a realização de um ataque. Ao utilizar o Active Directory, o DarkSide busca roubar credenciais, escalonar privilégios e adquirir outros ativos valiosos para a aquisição de dados. Depois de obter os privilégios do Active Directory, o DarkSide aproveita a política de grupos e o compartilhamento da rede do DC para a implementação de ransomware em todos os computadores associados ao domínio. As técnicas e os métodos de movimento lateral incluem PSExec e RDP. No entanto, dependendo do dispositivo que foi explorado mais recentemente, quase qualquer técnica de APT pode ser utilizada para fazer a correspondência de hardware, software, aplicações, serviços e patches à sua frente.

Fim do jogo

De forma semelhante ao Ryuk, o DarkSide também exclui cópias de sombra de volume e backups e interrompe outras soluções que seriam úteis para restaurar os dispositivos a um estado normal. O DarkSide também é conhecido por práticas de dupla extorsão que colocam as vítimas entre a cruz e a espada: pagar um resgate ou ter seus dados expostos para o mundo todo. Curiosamente, o ransomware nunca entrou no lado de tecnologia operacional (OT) da rede. O duto foi fechado para impedir que isso acontecesse. Era claro que a próxima etapa do ataque seria entrar na rede de OT e provocar a interrupção, além de adicionar backdoors para acesso futuro.

Como se defender contra ransomware

Em poucas palavras, ransomware é a monetização da má higiene cibernética. O que significa ter uma boa higiene cibernética? Essencialmente, a implementar os principais preceitos básicos. Especialistas cibernéticos como a U.S. Cybersecurity and Infrastructure Security Agency (CISA) e o U.K. National Cyber Security Centre (NCSC) enfatizam continuamente os preceitos básicos, como:

• Promover sessões de treinamentos de conscientização sobre segurança cibernética para diminuir os ataques de phishing;

• Segmentar as redes para separar diversas unidades de negócios e recursos para conter uma invasão;

• Habilitar a autenticação multifator (MFA) em todos os lugares;

• Manter backups criptografados frequentes dos dados e das imagens do sistema;

• Realizar continuamente o gerenciamento de vulnerabilidades baseado em riscos e a avaliação do Active Directory de toda a superfície de ataque.
  

Defender-se contra ransomware exige abordar as falhas de forma proativa antes que elas sejam utilizadas em ataques. É crítico ver todas as vulnerabilidades e as configurações incorretas na sua superfície de ataque, prever os principais problemas com base em threat intel e agir rapidamente para abordar o risco cibernético. Incorporar essas seis etapas no aspecto diário das operações de segurança será uma grande ajuda para mitigar as ameaças representadas por ransomware, para que ataques de ransomware não passem de tentativas.

Fonte: Tenable

O MS-ISAC observou o retorno de BitCoin Miner, Mirai e Ursnif ao Top 10, as 10 principais variantes de malware compreendem 62% da atividade total de malware em junho de 2021, diminuindo 13% em relação a maio de 2021. Shlayer provavelmente irá continuar sua prevalência no Top 10 de malware no próximo trimestre. No entanto, um patch recente da Apple aborda uma vulnerabilidade de dia zero usada por Shlayer. Isso provavelmente está reduzindo seu efeito, pois vimos uma redução de 57% nas infecções em relação ao mês anterior.

Em junho de 2021, o malvertisement foi responsável pelo maior número de alertas. O malvertisement continua como o principal vetor de infecção inicial devido à atividade do Shlayer. Os níveis de atividade para queda aumentaram, enquanto a atividade para malspam, malvertisement e múltiplo diminuiu.

A atividade do Shlayer caiu 57% em relação ao mês anterior, provavelmente devido ao patch recente da Apple que afetou sua campanha. O patch corrige uma vulnerabilidade de dia zero explorada pelo Shlayer para contornar as verificações de segurança do Gatekeeper, File Quarantine e Notarization da Apple. O patch provavelmente afetará a capacidade do Shlayer de baixar cargas maliciosas de segundo estágio, bem como sua capacidade de baixar sua própria carga útil. No entanto, é improvável que interrompa seu vetor de infecção inicial como um todo. É provável que o malvertisement continue sendo o principal vetor de infecção à medida que a campanha do Shlayer se desenrola.

Droped - Malware distribuído por outro malware já no sistema, um kit de exploração, software de terceiros infectado ou manualmente por um ator de ameaça cibernética. Mirai e Gh0st são os únicos malwares descartados.

Multiple - Malware que atualmente favorece pelo menos dois vetores. Atualmente, BitCoin Miner, CoinMiner, CryptoWall e ZeuS são os malwares que utilizam vários vetores. O ZeuS é descartado por outro malware, mas também é fornecido por meio de malvertisement.

Malspam - E-mails não solicitados, que direcionam os usuários a sites maliciosos ou induzem os usuários a baixar ou abrir malware. Os 10 principais malwares que usam essa técnica são NanoCore, Quasar e Ursnif.

Malvertisement - Malware introduzido por meio de anúncios maliciosos. Atualmente, o Shlayer é o único Malware Top 10 que usa essa técnica.

1. Shlayer

Shlayer é um downloader e um dropper para malware do MacOS. Ele é distribuído principalmente por meio de sites maliciosos, domínios sequestrados e malvertizing se passando por um falso atualizador do Adobe Flash.

Todos os domínios do Shlayer seguem o mesmo padrão <api.random_name.com>. Abaixo estão vários exemplos de domínios que o Shlayer usa.

Domínios

api [.] interfacecache [.] com

api [.] scalableunit [.] com

api [.] Typicalconfig [.] com

api [.] standartanalog [.] com

api [.] fieldenumerator [.] com

api [.] electricalsprint [.] com

api [.] searchwebsvc [.] com

api [.] connectedtask [.] com

api [.] navigationbuffer [.] com

api [.] windowtask [.] com

2. CoinMiner

CoinMiner é um minerador de criptomoedas que usa Windows Management Instrumentation (WMI) e EternalBlue para se espalhar por uma rede. O CoinMiner usa o script WMI Standard Event Consumer para executar scripts para persistência. O CoinMiner se espalha por meio de malspam ou é descartado por outro malware.

3. Mirai

Mirai é um botnet de malware conhecido por comprometer dispositivos de Internet das Coisas (IoT) para conduzir ataques DDoS em grande escala. Mirai é descartado após uma exploração permitir que o invasor obtenha acesso a uma máquina.

4. NanoCore

NanoCore é um RAT espalhado via malspam como uma planilha Excel XLS maliciosa. Como um RAT, o NanoCore pode aceitar comandos para baixar e executar arquivos, visitar sites e adicionar chaves de registro para persistência.

5. Quasar

Quasar é uma ferramenta de administração remota de código aberto na plataforma Windows. É usado como um RAT para criar backdoors.

6. ZeuS

ZeuS é um cavalo de Tróia bancário modular que usa registro de pressionamento de tecla para comprometer as credenciais da vítima quando o usuário visita um site bancário. Desde o lançamento do código-fonte ZeuS em 2011, muitas outras variantes de malware adotaram partes de sua base de código, o que significa que os eventos classificados como ZeuS podem na verdade ser outro malware usando partes do código ZeuS.

7. Gh0st

Gh0st é um RAT usado para controlar endpoints infectados. O Gh0st é descartado por outro malware para criar um backdoor em um dispositivo que permite que um invasor controle totalmente o dispositivo infectado.

8. BitCoin Miner

BitCoin Miner é um minerador de criptomoedas que usa os recursos do seu computador para configurar blocos de bitcoin e encaminhá-los para um servidor remoto.

9. Ursnif

Ursnif, e sua variante Dreambot, são trojans bancários conhecidos por documentos como arma. Ursnif recentemente atualizou seus ataques de injeção na web para incluir retornos de chamada TLS, a fim de ofuscar contra software anti-malware. Ursnif coleta informações da vítima de páginas de login e formulários da web.

10. CryptoWall

CryptoWall é um ransomware comumente distribuído por meio de malspam com anexos ZIP maliciosos, vulnerabilidades de Java e anúncios maliciosos. Após a infecção bem-sucedida, o CryptoWall fará a varredura do sistema em busca de letras de unidade, compartilhamentos de rede e unidades removíveis. CryptoWall é executado em sistemas de 32 e 64 bits.

Vamos esclarecer um termo que esta sendo visto cada dia mais... um vazamento de Informação é um incidente de Segurança da Informação que consiste na liberação indevida (seja proposital ou não intencional) de dados considerados sensíveis ou confidenciais. Como forma de Vazamento de Informação, as possibilidades se estendem desde técnicas que se utilizam de ameaças cibernéticas e técnicas de espionagem via internet – também conhecidas como APT (Advanced Persistent Threat ou “ameaça persistente avaçada”) –, até práticas que envolvem engenharia social e a exploração de vulnerabilidades humanas – e-mails de phishing, mídias removíveis infectadas com malware ou interceptação de dados em conexões de wi-fi público.

O Vazamento de Informação resulta em inúmeros impactos corporativos, que abrangem: impactos financeiros, como perda de valor em um processo de venda, desvalorização de ações na bolsa de valores ou queda de capital intelectual competitivo; e danos intangíveis à marca, como perda de confiança por parte dos consumidores finais.

Para ilustrar esse impacto, um bom exemplo é o caso da Yahoo, que em 2014 teve dados de aproximadamente 500 milhões de usuários vazados. No mesmo período, a empresa sofreu uma desvalorização em seu processo de aquisição pela Verizon, diminuindo seu valor de compra. Outro caso mais recente foi o vazamento de informações da Uber, que expôs dados sensíveis de 57 milhões de usuários e 600 mil motoristas. O incidente só veio a público um ano depois, e, atualmente, o governo da Pensilvânia exige judicialmente o pagamento de 13.5 milhões de dólares como multa. Resultou também em demissões dos responsáveis por esconder o caso e em uma desvalorização de em torno de 20 bilhões de dólares em seu processo de aquisição pela Softbank.

Em relação aos usuários finais que têm seus dados vazados, os impactos também resultam em prejuízo financeiro, como uso de dados pessoais e de cartão de crédito para realização de compras indevidas, ou mesmo uso das informações para roubo de identidade, em casos nos quais o cibercriminoso usa os dados das vítimas para criar contas falsas e bots.

Entende-se Vazamento de Informações como liberação indevida (proposital

ou não) de dados confidenciais e/ou sensíveis. As causas para esse tipo de

incidente podem partir de dois vetores:

1. Ameaça Externa: Quando a causa do vazamento é uma ameaça externa, significa que um grupo de cibercriminosos ou um agente individual busca explorar vulnerabilidades tecnológicas a partir do uso de malwares e APT para encontrar brechas de segurança no ambiente digital de uma empresa e se infiltrar com o intuito de roubar informações.

2. Ameaça Interna: O termo “ameaça interna” pode causar um certo desconforto e estranhamento: ‘como eu posso ser uma ameaça para a empresa em que trabalho?’. A questão de um funcionário ser considerado uma ameaça, ou uma insider threat, gira em torno das informações às quais ele tem acesso, de como é feito o manuseio e armazenamento delas, e de quais são as intenções de uso dessas informações

Nem sempre é possível saber se seus dados foram vazados, ainda mais sabendo que cada

país possui uma regulamentação diferente. No caso da Uber, o conhecimento do público sobre o incidente só veio a acontecer um ano após o ocorrido, o que só piora a situação tanto em do ponto de vista legal, quanto em relação a retardar a tomada de medidas por

parte dos usuários para prevenir que os cibercriminosos tivessem acesso a outras credenciais que usassem a mesma senha, por exemplo.

Contudo, existem ferramentas que pode ajudar a identificar se o seu e-mail está em alguma base de dados vazados que já tenha vindo a conhecimento público. Por exemplo ferramentas e empresas de monitoramento inteligente como:

• Cuide de seu CPF, CNPJ e dos seus dados - Serasa Premium (Ferramenta paga, muito utilizado por famosos e empresas)

• Axur. Experiências digitais mais seguras (Empresa de Thread Intelligence, porém não monitora pessoa Física)

• Have I Been Pwned: Check if your email has been compromised in a data breach (O site “Have I been Pwned” possui uma base de mais de 76 milhões de e-mails que já foram vazados e faz a checagem de seu e-mail para saber se ele está presente em alguma dessas base, informando qual tipo de dado seu foi vazado, Ferramenta gratuita para qualquer pessoa ou empresa)

Se seus dados já foram expostos ou estão presentes em alguma base de dados vazadas do

Have I Been Pwned ou outro mecanismo, é preciso analisar algumas questões circunstanciais. Boa parte das credenciais pedidas por redes sociais, e-commerces e serviços digitais são compostas por um login, que pode ser um username ou seu e-mail, e uma senha. Se os dados vazados foram login e senha e se essas informações também se repetem em outros serviços, é preciso ter em mente que todas as suas contas estão expostas.

O que fazer? TROCAR DE SENHA! e redobrar a atenção em alertas de possíveis tentativas de login, e adicionar camada extra de autenticação (celular, email, SMS, Apps de token) o famoso...Dupla autenticação segue um exemplo: MFA.

O primeiro passo a se tomar para remediar esse problema é trocar de senha. Mas não troque-a por qualquer tipo de senha. Criar uma senha nova com cuidado não significa usar algo fácil de se lembrar, como datas de aniversários, nome de filhos ou animais de estimação. use um gerador de senhas por exemplo Gerador de senhas | LastPass e armazenar em local seguro, como cofres de senha: KeePass Password Safe, Kaspersky Password Manager 2021 | Aplicativo de Senha & Senha segura | Kaspersky.

Vazamento de informação e incidentes envolvendo cibersegurança tendem a se tornar as-

suntos cada vez mais relevantes, tanto nas esferas midiáticas quanto no dia a dia dos usuá-

rios, considerando o impacto do digital presente em todos os aspectos do nosso tempo e o

enorme volume de dados que produzimos.

A última boa prática para prevenir vazamentos de informação está na propagação desse

conhecimento. Só assim estaremos contribuindo para a construção de uma sociedade

mais segura e de negócios mais confiáveis, garantido que todos os cidadãos tenham seu

direito à privacidade e não tenham seus dados violados, grande abraço pessoal!

Fonte: Home - PROOF | Segurança da Informação