Ransomwares usam e-mails com phishing para atacar empresas

Relatório de ameaças aponta que quase 70% dos ataques de ransomware dependiam de cavalos de Troia comuns para fazer vítimas em todo mundo

Compartilhar:

O ransomware segue dominando o cenário de ameaças e foi o tipo mais comum de ataque cibernético pelo sétimo trimestre consecutivo. De acordo com o relatório Cisco Talos Incident Response (CTIR), os ataques fazem grande uso de phishing com maldocs de cavalos de Troia como vetor de infecção. Quase 70% dos ataques de ransomware dependeram de cavalos de Troia comuns.

 

Segundo o levantamento, que observou as principais ameaças de novembro de 2020 a fevereiro de 2021, as variantes em destaque foram Ryuk, Vatet, Egregor e WastedLocker. Os cibercriminosos também empregam ferramentas disponíveis comercialmente e de código aberto como Cobalt Strike e Bloodhound, além de ferramentas nativas no sistema da vítima como PowerShell.

 

No entanto, também foi observado ataques envolvendo o comprometimento do e-mail comercial enviando um phishing com uma página de login falsificada do Microsoft Online a fim de efetuar login falso na conta do Office 365.

 

Saúde na mira

 

O estudo observou também que cibercriminosos costumam ter como alvo os cuidados de saúde, direcionando uma enxurrada de ataques de ransomware a organizações desse setor. É importante notar que houve um aumento nos incidentes envolvendo o malware Vatet, conhecido por ter como alvo organizações de saúde.

 

O CTIR identificou um padrão potencial no qual hospitais regionais associados a um determinado hospital são atacados inicialmente e podem servir como alvos subsequentes, principalmente se tiverem conexões VPN ativas com a organização afetada. Existem muitas razões pelas quais os atores continuam a visar o setor de saúde, incluindo a pandemia COVID-19, incentivando as vítimas a pagar para restaurar os serviços o mais rápido possível.

 

Vendors também são alvo

 

Os pesquisadores do CTIR se envolveram em vários projetos de resposta a incidentes nos quais as organizações, sem saber, baixaram atualizações de Trojan para o software Orion da SolarWinds. Já a Microsoft anunciou recentemente quatro vulnerabilidades no Exchange Server e revelou que um ator de ameaças chamado Hafnium estava explorando essas vulnerabilidades visando uma série de organizações.

 

Logo, outros agentes de ameaças começaram a aproveitar dessas explorações, variando de APTs a grupos de criptomoedas, com organizações afetadas estimadas em dezenas de milhares. O CTIR tem respondido a um número crescente de incidentes envolvendo as vulnerabilidades do Microsoft Exchange.

 

Conteúdos Relacionados

Security Report | Destaques

AT&T comunica acesso indevido aos dados dos clientes

Registros de chamadas telefônicas e mensagens de texto de quase todos os clientes foram baixados ilegalmente. Em nota, a companhia...
Security Report | Destaques

“Transparência é o fator-chave da relação entre SI e empresa”, afirma Gil Vega, CISO da Veeam

O atual líder de Segurança da Informação da vendor falou com exclusividade à Security Report sobre sua trajetória em diversos...
Security Report | Destaques

BRASPRESS retoma funcionamento do site oficial após ataque de ransomware

Incidente que causou a parada de diversos sistemas operacionais da companhia se deu ainda no começo dessa semana, e forçou...
Security Report | Destaques

Problemas técnicos causam perda de dados de 39 mil chaves Pix da 99Pay

Incidente ocorrido entre 26 de junho e 2 de julho desse ano foi revelado pelo próprio Banco Central do Brasil...