Ransomware – Noticias InforPaulo

Ransomware LockBit

O ransomware LockBit é um software malicioso projetado para bloquear o acesso do usuário aos sistemas de computador em troca do pagamento de um resgate. O LockBit espalha a infecção automaticamente e criptografa todos os sistemas de computadores acessíveis em uma rede.

O mais significativo é sua capacidade de se auto propagar, o que significa que ele se espalha por conta própria. Em sua programação, o LockBit é direcionado por processos automatizados pré-projetados. Isso o torna diferente de muitos outros ataques de Ransomware que são acionados manualmente na rede.

Depois que o invasor infectou manualmente um único host, ele pode encontrar outros hosts acessíveis, conectá-los aos infectados e compartilhar a infecção usando um script. Isso é concluído e repetido inteiramente sem intervenção humana. Além disso, ele usa ferramentas em padrões que são nativos para quase todos os sistemas de computador Windows. Os sistemas de segurança de endpoints têm dificuldade em sinalizar atividades maliciosas. Ele também oculta o arquivo de criptografia executável, disfarçando-o como o formato de arquivo de imagem .PNG comum, enganando ainda mais as defesas do sistema.

Como se proteger contra o ransomware LockBit:

Senhas fortes devem ser implementadas. Muitas violações de conta ocorrem devido a senhas fáceis de adivinhar ou que são simples o suficiente para uma ferramenta de algoritmo descobrir em poucos dias de sondagem. Certifique-se de escolher uma senha segura, como escolher senhas mais longas, com variações de caracteres e usar regras criadas por você para criar frases secretas.
Ative a autenticação de vários fatores. Detenha ataques de força bruta adicionando camadas sobre seus logins iniciais baseados em senha. Inclua medidas como biometria ou autenticadores de chave USB físicos em todos os seus sistemas, quando possível.
Reavalie e simplifique as permissões de conta de usuário. Limite as permissões a níveis mais estritos para impedir que potenciais ameaças passem sem ser impedidas. Preste atenção especial para aquelas acessadas por usuários de endpoint e contas de TI com permissões de nível de administrador. Domínios da Web, plataformas colaborativas, serviços de reunião na Web e bancos de dados corporativos devem ser protegidos.
Limpe contas de usuário desatualizadas e não utilizadas. Alguns sistemas mais antigos podem ter contas de funcionários antigos que nunca foram desativadas e fechadas. A conclusão de uma verificação dos sistemas deve incluir a remoção desses pontos fracos em potencial.
Certifique-se de que as configurações do sistema estejam seguindo todos os procedimentos de segurança. Isso pode levar algum tempo, mas rever as configurações existentes pode revelar novos problemas e políticas desatualizadas que colocam sua organização em risco de ataque. Os procedimentos de operação padrão devem ser reavaliados periodicamente para se manter atualizado contra novas ameaças cibernéticas.
Sempre tenha backups de todo o sistema e imagens limpas da máquina local preparadas. Incidentes acontecerão, e a única proteção verdadeira contra a perda permanente de dados é uma cópia off-line. Periodicamente, sua organização deve criar backups para se manter atualizada com quaisquer mudanças importantes nos sistemas. No caso de um backup ficar contaminado por uma infecção por malware, considere ter vários pontos de backup rotativos para ter a opção de selecionar um período limpo.

Apple foi alvo de ataque de $50 milhões de dólares por ransomware

A Apple foi alvo de um ataque de ransomware de US $ 50 milhões, após o roubo de um tesouro de esquemas de engenharia e fabricação de produtos atuais e futuros da Quanta, uma empresa com sede em Taiwan que fabrica MacBooks e outros produtos para a Apple.

O vazamento, relatado pela primeira vez pelo The Record , foi realizado por REvil, um grupo de hackers russo que também é conhecido pelo nome de Sodinokibi. O grupo já havia começado a postar as imagens roubadas em 20 de abril, programado especificamente para coincidir com o último evento “Spring Loaded” da Apple, depois que a Quanta se recusou a pagar o resgate de US $ 50 milhões pelos dados. O grupo agora espera que a própria Apple pague até 1º de maio, prometendo continuar a postar novas imagens do vazamento diariamente até que o faça.

Fonte: The Record

Malware TrickBot agora está infectando sistemas Linux / UNIX

A plataforma de malware Anchor do TrickBot foi portada para infectar dispositivos Linux e comprometer ainda mais alvos de alto impacto e alto valor usando canais secretos.

O TrickBot é alugado por agentes de ameaças que o usam para se infiltrar em uma rede e colher qualquer coisa de valor. Em seguida, ele é usado para implantar ransomware, como Ryuk e Conti, para criptografar os dispositivos da rede como um ataque final.

Chamado Anchor_DNS, o malware é usado em alvos de alto valor e alto impacto com informações financeiras valiosas.
Além das implantações de ransomware por meio de infecções do Anchor, os autores do TrickBot Anchor também o usam como backdoor em campanhas do tipo APT que têm como alvo sistemas de ponto de venda e financeiros.

Com esta evolução do malware TrickBot, é cada vez mais importante que os sistemas Linux e dispositivos IoT tenham proteção e monitoramento adequados para detectar ameaças como Anchor_Linux

Fonte: Bleeping

Brasil é líder em empresas atacadas por Ransomware na epidemia

De acordo com a recente análise realizada por Dmitry Bestuzhev, diretor da equipe global de pesquisa e análise da Kaspersky na América Latina, houve aumento constante de ataques direcionados de ransomware contra empresas nos últimos meses. De janeiro a maio deste ano, bloqueamos com sucesso 30 mil desses ataques em todo o mundo – mais de 200 potenciais vítimas únicas defendida com sucesso por dia. Nossos dados também revelam que o Brasil lidera a lista dos países mais afetados por ataques de ransomware empresariais ao redor do mundo, enquanto no nível regional, Colômbia, México, Equador e Peru, completam a lista dos 5 primeiros

Continuar a ler