Malware Sunburst usou software comprometido para atacar plataforma Orion, da SolarWinds

Pesquisadores descobriram o código usado pelo Sunburst e divulgam melhor entendimento sobre especificidade do ataque

Compartilhar:

A SophosLabs acaba de publicar um novo relatório, chamado  “How Sunburst Malware Does Defense Evasion” ou, em tradução literal, “Como o Malware Sunburst passa evasivamente pela defesa”, que é a primeira microanálise de como os invasores usaram técnicas de evasão para evitar a detecção pelo maior tempo possível (prática essa que continuará sendo usada pelos cibercriminosos).

 

Com base na análise da SophosLabs, a Sunburst usou um componente de software comprometido para usar o Orion da SolarWinds para detectar e, em alguns casos, tentar desativar o software defensivo em execução nos sistemas alvo. A equipe de pesquisa da Sophos desconstruiu o código usado pelo Sunburst, o que fornece um passo a passo para ajudar os pesquisadores, defensores e especialistas de TI a entender melhor essa especificidade do ataque.

 

Abaixo aproveitamos para compartilhar uma aspas de Sean Gallagher, pesquisador sênior de ameaças da Sophos, que pode ser útil caso queira complementar o que já escreveu sobre o tema ou, até mesmo, atualizar ou começar um novo conteúdo à medida que detalhes adicionais do ataque continuam a surgir. O comentário de Gallagher também aborda a necessidade das organizações em se manterem atentas e continuar a monitorar os ataques cibernéticos diários, incluindo ransomware:

 

“A seletividade da execução do Sunburst e o método necessário para desativar as defesas da maneira menos agressiva são indicativos de atores cautelosos que procuram disparar o mínimo de alarmes possível em sua invasão”, explica Sean Gallagher, pesquisador sênior de ameaças da Sophos. “Os defensores precisam estar atentos a esforços similares no futuro, para escapar de ataques direcionados como esse, por meio do monitoramento de contas, atividades incomuns e procura por ameaças humanas, bem como trabalhando com fornecedores para encontrar maneiras mais robustas de garantir a segurança da cadeia de suprimentos de seu software crítico. Mas eles não devem fazer isso às custas de assistir a ataques mais ‘normais’, incluindo as campanhas de ransomware em andamento que não mostram sinais de desaceleração”, reforça o pesquisador. “Preste atenção às técnicas de evasão do Sunburst, mas não deixe que isso seja um desvio da defesa contra o crime cibernético do dia a dia, com o qual o ransomware e outros invasores podem contar agora”.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Espionagem digital iraniana mira governos e empresas Latinas, alerta relatório

Estudo da WatchGuard mostra que grupo MuddyWater foca no roubo de propriedade intelectual e dados de navegadores mesmo durante tréguas...
Security Report | Overview

Golpe que engana funcionários sem vírus se multiplica 37 vezes em dois anos

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

Gartner: US$ 234 bilhões gastos com aplicações corporativas correm risco com IA Agêntica

Arbitragem agêntica rompe o modelo tradicional de licenciamento SaaS baseado em usuários
Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...