Ataques de ransomware são um grande problema para organizações em todo lugar, e a gravidade desse problema continua intensificando.
Recentemente, a equipe de Resposta a Incidentes da Microsoft investigou os ataques de ransomware BlackByte 2.0 e expôs a velocidade aterrorizante e a natureza danosa desses ataques cibernéticos.
As descobertas indicam que os hackers podem completar todo o processo de ataque, desde obter acesso inicial até causar danos significativos, em apenas cinco dias.
Eles não perdem tempo em infiltrar sistemas, criptografar dados importantes e exigir um resgate para liberá-los.
Esse cronograma reduzido representa um desafio significativo para organizações que tentam se proteger contra essas operações prejudiciais.
O ransomware BlackByte é usado na fase final do ataque, usando uma chave de número de oito dígitos para criptografar os dados.
Para realizar esses ataques, os hackers usam uma poderosa combinação de ferramentas e técnicas.
A investigação revelou que eles aproveitam as vulnerabilidades nos Servidores de Troca da Microsoft, uma abordagem que se mostrou altamente bem-sucedida.
Ao explorar essa vulnerabilidade, eles obtêm acesso inicial às redes-alvo e preparam o terreno para suas atividades maliciosas.
O ransomware também utiliza a técnica de "process hollowing" e estratégias de evasão de antivírus para garantir a criptografia bem-sucedida e contornar a detecção.
Além disso, os web shells os equipam com acesso remoto e controle, permitindo que mantenham presença nos sistemas comprometidos.
O relatório também destacou o uso de beacons do Cobalt Strike, que facilitam operações de comando e controle.
Essas ferramentas sofisticadas dão aos atacantes uma ampla gama de habilidades, tornando mais difícil para as organizações se defenderem contra eles.
Ao lado dessas táticas, a investigação descobriu várias outras práticas perturbadoras que os cibercriminosos usam.
Eles utilizam ferramentas de "living-off-the-land" para se misturar com processos legítimos e escapar da detecção.
O ransomware modifica cópias de sombra de volume nas máquinas infectadas para evitar a recuperação de dados por meio de pontos de restauração do sistema.
Os atacantes também implantam backdoors especialmente criados, garantindo acesso contínuo para os atacantes mesmo após a comprometimento inicial.
O aumento perturbador nos ataques de ransomware exige ação imediata das organizações em todo o mundo.
Em resposta a essas descobertas, a Microsoft forneceu algumas recomendações práticas.
As organizações são incentivadas a implementar procedimentos robustos de gerenciamento de patches, garantindo que apliquem atualizações de segurança críticas em tempo hábil.
A ativação da proteção contra adulteração é outro passo essencial, pois fortalece as soluções de segurança contra tentativas maliciosas de desabilitá-las ou contorná-las.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...