IBM SecurityIntelligence – 4 de outubro de 2018 @ 9:40 AM
Pesquisadores de segurança observaram uma nova campanha de ataque em que o botnet Viro infecta dispositivos com ransomware e depois usa essas máquinas comprometidas para infectar mais vítimas.
Uma vez baixado, de acordo com a Trend Micro, o Viro gera rapidamente chaves de criptografia e descriptografia com um gerador de números aleatórios depois de verificar o dispositivo infectado pelo registro correto. Curiosamente, embora o botnet seja voltado principalmente para os americanos, o ataque exibe uma nota de resgate em francês após criptografar arquivos usando RSA.
Viro fez manchetes quando foi descoberto na natureza no final de 2017.
Enquanto os primeiros exemplos de ransomware simplesmente mantêm o refém de dados até que as vítimas sejam pagas, os recentes ataques Viro envolvem recursos adicionais, como penetrar nos sistemas de e-mail dos usuários e listas de contatos para enviar spam a outras vítimas em potencial.
Seus recursos de keylogging, enquanto isso, permitem que os cibercriminosos colham outros dados, que depois são enviados de volta para um servidor de comando e controle (C & C) para baixar outros malwares ou outros arquivos. Os pesquisadores especularam que Viro pode ser baseado em uma variante do Locky, que ganhou as manchetes ao longo de 2017.
No lado positivo, os pesquisadores observaram que o servidor C & C do Viro foi desativado desde a primeira vez que observaram os ataques, o que significa que não será mais possível criptografar arquivos, mesmo que eles caiam na máquina da vítima.
Como Evitar Ataques de Ransomware Gerados por Botnet
Ataques de ransomware como o Viro geralmente começam quando alguém clica inocentemente em um anexo de email que aciona o processo de download. Os especialistas da IBM aconselham as equipes de segurança a restringir a execução de programas de pastas temporárias onde os arquivos de malware normalmente residem. Em geral, isso é apenas uma questão de alavancar as políticas comuns de restrição de software (GPOs) e os Objetos de Diretiva de Grupo (GPOs) que já estão disponíveis nas ferramentas de segurança, o que bloquearia as tentativas dos cibercriminosos de copiar cargas maliciosas de uma pasta temporária.
Os agentes de ameaças também podem visar o ransomware nas pastas AppData ou Local AppData. As organizações podem manter o ransomware à distância, desativando a capacidade de executar executáveis nessas áreas.
Fonte: Trend Micro
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e ciberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, BeyondTrust, Varonis, WatchGuard Technologies.
Aguardamos seu contato: [email protected]