Cibercriminosos russos inovam ao lançar campanhas de ransomware contra o próprio país

Com diversos fornecedores de soluções de segurança suspendendo suas operações na Rússia, os cibercriminosos estão se aproveitam dessa instabilidade para direcionar ataques cibernéticos contra empresas, transformando-as em alvos fáceis

Compartilhar:

O atual conflito geopolítico entre Rússia e Ucrânia se tornou um cenário propício para os criminosos, que se beneficiam da situação para explorar ainda mais as vulnerabilidades cibernéticas das empresas.

 

O diretor de cibersegurança da Netskope, Paolo Passeri, divulgou uma análise revelando que, se até pouco tempo atrás as habilidades avançadas dos russos seguiam um protocolo informal de ataques globais executados geralmente “de dentro para fora”, agora estão crescendo os registros de ameaças entre compatriotas.

 

Os hackers se aproveitam da instabilidade atual de segurança, na qual diversos fornecedores de soluções de segurança suspenderam suas operações na Rússia, aumentando a exposição das empresas e transformando-as em alvos fáceis.

 

O grupo OldGremlin, especializado em ataques de ransomware e que tem como alvo organizações na Rússia desde meados de 2020, ressurgiu e foi identificado recentemente. A falta de estabilidade incentivou os golpistas a lançarem duas novas campanhas para explorar o impacto das sanções ao país.

 

A equipe do OldGremlin realizou um ataque em 22 de março que aproveitou especificamente da suspensão das operações da Visa e da Mastercard no país. A ação envolveu um e-mail de phishing encorajando o usuário a preencher um formulário para solicitar um novo cartão. Na verdade, o formulário é um documento malicioso do Office hospedado no Dropbox que, uma vez executado, carrega um template hospedado também no Dropbox.  Trata-se de um backdoor chamado TinyFluff que os invasores usam para realizar atividades maliciosas, como coleta e roubos de informações e download de arquivos.

 

Além das fronteiras 

 

Dentro do contexto geopolítico, vale destacar também um exemplo completamente diferente de ataque que teve como alvo o setor bancário africano, novamente via Dropbox, e dessa vez disseminando o RemcosRAT no OneDrive. Nesta campanha, curiosamente, o payload foi entregue por meio do  downloader GuLoader que, neste caso, não  usou um serviço de nuvem para se espalhar, mas sim por meio da técnica de contrabando de HTML.

 

Veja abaixo as recomendações para mitigar os riscos de instâncias de nuvem não autorizadas usadas para fornecer conteúdo malicioso

 

Existem vários estágios da cadeia de ataque que podem mitigar o risco de malware entregue por serviços de nuvem legítimos.

 

• Bloquear o acesso e, em geral, aplicar controles granulares a dezenas de serviços em nuvem, como o Dropbox, onde instâncias pessoais e não corporativas podem estar em uso;

 

• Evitar download de documento de páginas da Web ou de serviços em nuvem por meio de vários mecanismos, como AV baseado em assinatura, análise heurística avançada, sandboxing e um scanner baseado em machine learning para documentos e executáveis ​​do Office;

 

• Evitar qualquer redirecionamento na kill chain por meio de um mecanismo de filtragem de conteúdo que oferece uma variedade de categorias granulares de riscos de segurança, incluindo pontos de distribuição de phishing e malware; 

 

• Otimizar a neutralização de ataques por meio do compartilhamento automatizado e bidirecional dos Indicadores de Comprometimento (IoC), como hashes, IPs, domínios e URLs com terceiros como tecnologias de Endpoint Detection and Response (EDR), e feeds de inteligência sobre ameaças;

 

• Monitoramento contínuo por meio de um painel específico de proteção contra ameaças capaz de fornecer informações valiosas sobre tráfego malicioso para instâncias de nuvem não corporativas e páginas da web, usuários mais visados e principais aplicações exploradas para fornecer conteúdo malicioso. As equipes de SOC e de proteção contra incidentes podem se beneficiar com essa estratégia de segurança.

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos crescem cerca de 70% no Brasil em um ano

Os pesquisadores da Check Point Software relatam ainda o maior aumento de ciberataques globais visto nos últimos dois anos, um...
Security Report | Overview

Espiões Cibernéticos respondem pela maioria dos ataques Zero Day, revela análise

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero...
Security Report | Overview

77% dos usuários já tiveram fricção com autenticações por senhas, alerta estudo

Estudo da Unico com o Instituto Locomotiva também informa que 45% desses entrevistados chegaram a enfrentar perdas financeiras. Tais problemas...
Security Report | Overview

Ministério Público Federal entra com ação judicial contra WhatsApp e ANPD

Maior ação judicial da história do Brasil em proteção de dados pessoais tem como base as alterações aplicadas em 2021...