22.8 C
São Paulo
5 de fevereiro de 2025

Hackers russos inovam ao lançar campanhas de ransomware contra empresas do próprio país

<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”>Os hackers se aproveitam da instabilidade atual de segurança, na qual diversos fornecedores de soluções de segurança suspenderam suas operações na Rússia, aumentando a exposição das empresas e transformando-as em alvos fáceis. &nbsp;</p>
<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”>O grupo&nbsp;<strong>OldGremlin</strong>, especializado em ataques de&nbsp;<em>ransomware</em>&nbsp;e que tem como alvo organizações na Rússia desde meados de 2020, ressurgiu e foi identificado recentemente. A falta de estabilidade incentivou os golpistas a lançarem&nbsp;<a style=”color: #1155cc;” href=”https://blog.group-ib.com/oldgremlin_comeback?utm_source=email&amp;mkt_tok=NjY1LUtGUC02MTIAAAGD5gggwhbPVeNYhV-_zjw6BY4CxshM2nv9tk-b2HiSgXgA3F6uJFHnX5Tz823mLIXi2I5_sTs_U5EDIlctoNcT4MmoioEThhT4StPI6OfKWjP_” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=https://blog.group-ib.com/oldgremlin_comeback?utm_source%3Demail%26mkt_tok%3DNjY1LUtGUC02MTIAAAGD5gggwhbPVeNYhV-_zjw6BY4CxshM2nv9tk-b2HiSgXgA3F6uJFHnX5Tz823mLIXi2I5_sTs_U5EDIlctoNcT4MmoioEThhT4StPI6OfKWjP_&amp;source=gmail&amp;ust=1651689729298000&amp;usg=AOvVaw3tGTvXUtcplvWFgbQgflQ9″>duas novas campanhas</a>&nbsp;para explorar o impacto das sanções ao país. &nbsp;</p>
<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”>A equipe do<strong>&nbsp;OldGremlin</strong>&nbsp;realizou um ataque em 22 de março que aproveitou especificamente da suspensão das operações da Visa e da Mastercard no país. A ação envolveu um e-mail de&nbsp;<em>phishing</em>&nbsp;encorajando o usuário a preencher um formulário para solicitar um novo cartão. Na verdade, o formulário é um documento malicioso do Office hospedado no Dropbox que, uma vez executado, carrega um&nbsp;<em>template</em>&nbsp;hospedado também no Dropbox.&nbsp;&nbsp;Trata-se de um&nbsp;<em>backdoor</em>&nbsp;chamado&nbsp;<strong>TinyFluff</strong>&nbsp;que os invasores usam para realizar atividades maliciosas, como coleta e roubos de informações e download de arquivos. &nbsp;</p>
<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”><strong>Além das fronteiras&nbsp;</strong>&nbsp;</p>
<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”>Dentro do contexto geopolítico, vale destacar também um&nbsp;<a style=”color: #1155cc;” href=”https://threatresearch.ext.hp.com/malware-campaigns-targeting-african-banking-sector/?utm_source=email&amp;mkt_tok=NjY1LUtGUC02MTIAAAGD5gggw5w_qzZn4fWMpPVoDWqy4s_DntaLk8qcYvPZGWrH8zKHpSXaLi5iADeoj6kwyvan5fmkzYpydEkd2pKUnKI8j4MqkltEg4Nc3261-Lbd” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=https://threatresearch.ext.hp.com/malware-campaigns-targeting-african-banking-sector/?utm_source%3Demail%26mkt_tok%3DNjY1LUtGUC02MTIAAAGD5gggw5w_qzZn4fWMpPVoDWqy4s_DntaLk8qcYvPZGWrH8zKHpSXaLi5iADeoj6kwyvan5fmkzYpydEkd2pKUnKI8j4MqkltEg4Nc3261-Lbd&amp;source=gmail&amp;ust=1651689729298000&amp;usg=AOvVaw29AeD7oS0L0mOMRgzWuP_u”>exemplo completamente diferente</a>&nbsp;de ataque que teve como alvo o setor bancário africano, novamente via Dropbox, e dessa vez disseminando o&nbsp;<strong>RemcosRAT</strong>&nbsp;no OneDrive. Nesta campanha, curiosamente, o&nbsp;<em>payload&nbsp;</em>foi entregue por meio&nbsp;<a style=”color: #1155cc;” href=”https://www.netskope.com/blog/netskope-threat-coverage-guloader?utm_source=email&amp;mkt_tok=NjY1LUtGUC02MTIAAAGD5gggw9JJttAuNTnWLssL3AvEgh9QZdVgWYnWVMhiK-lgyq-QgcchhlsLHnuLkMBifWn5otmpEhHSxYJFlecSffjqM_mrLmtINPNaPYpuki9X” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=https://www.netskope.com/blog/netskope-threat-coverage-guloader?utm_source%3Demail%26mkt_tok%3DNjY1LUtGUC02MTIAAAGD5gggw9JJttAuNTnWLssL3AvEgh9QZdVgWYnWVMhiK-lgyq-QgcchhlsLHnuLkMBifWn5otmpEhHSxYJFlecSffjqM_mrLmtINPNaPYpuki9X&amp;source=gmail&amp;ust=1651689729298000&amp;usg=AOvVaw3x4_BDfJ8HBGu0zcbeAZCK”>do&nbsp;&nbsp;downloader GuLoader</a>&nbsp;que, neste caso, não&nbsp;&nbsp;usou um serviço de nuvem para se espalhar, mas sim por meio da técnica de&nbsp;<a style=”color: #1155cc;” href=”https://attack.mitre.org/techniques/T1027/006/?utm_source=email&amp;mkt_tok=NjY1LUtGUC02MTIAAAGD5gggw30D9dQTODod_R0cBusxNWNLfDsXcBkSvHxeVw5c4FFw9YgKwLqy6O7xti4N3iIF98eWRSw4Sj2DJ_cPcy4aAj5-cuAr_CIBVfmPNF7L” target=”_blank” data-saferedirecturl=”https://www.google.com/url?q=https://attack.mitre.org/techniques/T1027/006/?utm_source%3Demail%26mkt_tok%3DNjY1LUtGUC02MTIAAAGD5gggw30D9dQTODod_R0cBusxNWNLfDsXcBkSvHxeVw5c4FFw9YgKwLqy6O7xti4N3iIF98eWRSw4Sj2DJ_cPcy4aAj5-cuAr_CIBVfmPNF7L&amp;source=gmail&amp;ust=1651689729298000&amp;usg=AOvVaw2W_GQyqNnnwOTfJ0u6-Jeo”>contrabando de HTML</a>. &nbsp;</p>
<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”><strong>Veja abaixo as recomendações da Netskope para mitigar os riscos de instâncias de nuvem não autorizadas usadas para fornecer conteúdo malicioso &nbsp;</strong></p>
<p style=”margin: 0cm 0cm 10pt; font-size: 11pt; font-family: Calibri, ‘sans-serif’; text-align: left;”>Existem vários estágios da cadeia de ataque que podem mitigar o risco de&nbsp;<em>malware</em>&nbsp;entregue por serviços de nuvem legítimos. &nbsp;</p>
<ul style=”margin-bottom: 0cm; text-align: left;”>
<li style=”margin-left: 15px;”>Bloquear o acesso e, em geral, aplicar controles granulares a dezenas de serviços em nuvem, como o Dropbox, onde instâncias pessoais e não corporativas podem estar em uso. &nbsp;</li>
<li style=”margin-left: 15px;”>Evitar download de documento de páginas da Web ou de serviços em nuvem por meio de vários mecanismos, como AV baseado em assinatura, análise heurística avançada,&nbsp;<em>sandboxing</em>&nbsp;e um scanner baseado em&nbsp;<em>machine learning</em>&nbsp;para documentos e executáveis ​​do Office. &nbsp;</li>
<li style=”margin-left: 15px;”>Evitar qualquer redirecionamento na&nbsp;<em>kill chain</em>&nbsp;por meio de um mecanismo de filtragem de conteúdo que oferece uma variedade de categorias granulares de riscos de segurança, incluindo pontos de distribuição de&nbsp;<em>phishing</em>&nbsp;e&nbsp;<em>malware</em>.&nbsp;&nbsp;</li>
</ul>
<ul style=”margin-bottom: 0cm; text-align: left;”>
<li style=”margin-left: 15px; font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px;”>Otimizar a neutralização de ataques por meio do compartilhamento automatizado e bidirecional dos Indicadores de Comprometimento (IoC), como&nbsp;<em>hashes</em>, IPs, domínios e URLs com terceiros como tecnologias de Endpoint Detection and Response (EDR), e feeds de inteligência sobre ameaças. &nbsp;</li>
<li style=”margin-left: 15px; font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px;”>Monitoramento contínuo por meio de um painel específico de proteção contra ameaças capaz de fornecer informações valiosas sobre tráfego malicioso para instâncias de nuvem não corporativas e páginas da web, usuários mais visados e principais aplicações exploradas para fornecer conteúdo malicioso. As equipes de SOC e de proteção contra incidentes podem se beneficiar com essa estratégia de segurança. &nbsp;</li>
<li></li>
</ul>

Este site usa cookies para melhorar sua experiência. Caso você esteja de acordo com isso, mas você pode optar por não participar, se desejar. Aceitar Saiba Mais

Privacidade & Politica de Cookies