Os cibercriminosos estão distribuindo uma nova forma de ransomware em ataques contra as vítimas, nos quais eles não apenas criptografam a rede, mas também fazem ameaças para lançar ataques distribuídos de negação de serviço (DDoS) e assediar funcionários e parceiros de negócios se um resgate não for pago.
Apelidado de Yanluowang, o ransomware foi descoberto por pesquisadores de cibersegurança da equipe Symantec Threat Hunter da Broadcom Software enquanto investigavam uma tentativa de ataque cibernético contra uma grande organização não revelada.
Embora a tentativa de ataque não tenha sido bem-sucedida, a investigação revelou uma nova forma de ransomware. Também forneceu informações sobre como alguns cibercriminosos estão tentando tornar os ataques mais eficazes – neste caso, com a ameaça de ataques adicionais.
Veja também: Uma estratégia vencedora para cibersegurança (reportagem especial do ZDNet).
Yanluowang envia uma nota de resgate informando à vítima que ela foi infectada com ransomware, dizendo-lhes para enviar uma mensagem com um endereço de contato para negociar o pagamento do resgate. A nota adverte as vítimas para não entrarem em contato com a polícia, FBI ou autoridades, e não contatar uma empresa de segurança cibernética – está implícito que, se a vítima fizer isso, ela não receberá seus dados de volta.
Mas os cibercriminosos por trás de Yanluowang vão ainda mais longe com suas ameaças, sugerindo que, se a vítima chamar ajuda externa, eles lançarão ataques DDoS contra a vítima – transbordando seus sites com tanto tráfego que eles travarão – e eles Farei ligações para funcionários e parceiros de negócios. Eles também sugerem que, se a vítima não cooperar, ela retornará com ataques adicionais ou até excluirá os dados criptografados, para que sejam perdidos para sempre.
“É difícil dizer se esta é uma ameaça genuína. No entanto, certamente está de acordo com o que estamos vendo de outros agentes de ransomware que parecem se sentir ameaçados por vítimas que ligam para a aplicação da lei ou compartilham informações com terceiros”, Dick O’ Brien, editor principal da Symantec, disse ZDNetName.
Ainda não está claro como os cibercriminosos obtiveram acesso à rede. Ainda assim, os pesquisadores descobriram o ataque após identificar o uso suspeito do AdFind, uma linha de comando legítima na ferramenta de consulta do Active Directory.
Essa ferramenta costuma ser abusada por invasores de ransomware e é usada como uma técnica de reconhecimento para explorar o Active Directory e encontrar maneiras adicionais de se mover secretamente pela rede, com o objetivo final de implantar ransomware.
Nesse caso, os invasores tentaram implantar o ransomware apenas alguns dias após a identificação da atividade suspeita e, por fim, a tentativa de ataque de ransomware foi evitada porque os sinais indicadores de um ataque foram reconhecidos e bloqueados.
No entanto, o surgimento de outro novo grupo de ransomware, particularmente um que faz ameaças adicionais para coagir as vítimas a pagar resgates, é um desenvolvimento indesejável.
Veja também: Aviso de segurança BYOD: você não pode fazer tudo com segurança apenas com dispositivos pessoais.
O ransomware parece ser um trabalho em andamento para que possa se tornar mais eficaz no futuro. No entanto, existem etapas que as organizações podem seguir para proteger seus negócios dessa ameaça e de outras formas de ransomware.
“Falando de modo geral, eles devem adotar uma estratégia de defesa em profundidade, usando múltiplas detecções, proteção e tecnologias de fortalecimento para mitigar o risco em cada ponto da cadeia de ataque potencial”, disse O’Brien.
“Permitir apenas RDP [Remote Desktop Protocol] de endereços IP específicos conhecidos. Também aconselhamos a implementação de auditoria e controle adequados do uso da conta administrativa”, acrescentou.
Outras ações que as organizações podem tomar para ajudar a proteger contra ransomware e outros ataques cibernéticos incluem a aplicação de patches de segurança o mais rápido possível, para que os cibercriminosos não possam explorar vulnerabilidades conhecidas para acessar a rede. As organizações também devem equipar os usuários com ferramentas de autenticação multifator, para que seja mais difícil para os cibercriminosos tirar proveito de nomes de usuário e senhas violados.
Mais sobre cibersegurança
source – www.zdnet.com
