O ano se encerra, mas as ameaças à cibersegurança estão longe de parar. Só em roubo de criptomoeda, 2021 viu uma perda de 7,7 bilhões de dólares, enquanto novas gangues de ransomware surgem e lutam pelo topo da hierarquia de ciberataques.
O que você vai ler:
- Nova gangue de ransomware quer ocupar lugar do REvil como o grupo de ameaça mais expressivo da atualidade
- Nova cepa de ransomware é responsável por um aumento de 400% nos ataques a organizações governamentais
- 225 milhões de senhas são encontradas em diretório hacker na internet
- 2021 se encerra com perdas de 7,7 bilhões só em roubo de criptomoeda
Nova gangue de ransomware quer ocupar lugar do REvil como o grupo de ameaça mais expressivo da atualidade
Em alerta recente emitido pela Sophos Labs, foi divulgado que a AvosLocker, uma gangue de ransomware que surgiu em junho de 2021, está em busca de parceiros – isto é, corretores que vendem acesso a máquinas já hackeadas, conhecidos como “corretores de acesso” – na esperança de preencher a lacuna deixada pelo grupo REvil, que desapareceu também em 2021, sem nenhuma explicação.
Um dos principais recursos que o AvosLocker usa é a ferramenta de administração de TI remota AnyDesk, executando-a no Modo de Segurança do Windows. Esse recurso foi usado por grupos como o próprio REvil, Snatch e BlackMatter, como uma forma de desabilitar a segurança do Windows e das ferramentas de administração de TI.
Isso porque muitos produtos de segurança para endpoint não são executados no Modo de Segurança – uma configuração de diagnóstico especial na qual o Windows desativa a maioria dos drivers e software de terceiros e pode tornar inseguras as máquinas protegidas.
Além disso, os pesquisadores detectaram várias técnicas curiosas usadas pelo AvosLocker. Um componente do Linux, por exemplo, tem como alvo os servidores de hipervisor VMware ESXi, a fim de eliminar quaisquer máquinas virtuais (VMs) desses servidores e, em seguida, criptografar os arquivos VM. A Sophos está investigando como os invasores obtiveram as credenciais de administrador necessárias para habilitar o ESX Shell ou acessar o servidor.
Os invasores também usaram a ferramenta de gerenciamento de TI PDQ Deploy para enviar vários scripts de lote do Windows para as máquinas de destino, incluindo love.bat, update.bat e lock.bat. Em cerca de cinco segundos, esses scripts desabilitam produtos de segurança que podem ser executados no Modo de Segurança, desabilitam o Windows Defender e permitem que a ferramenta AnyDesk do invasor seja executada no Modo de Segurança. Eles também configuram uma nova conta com detalhes de login automático e, em seguida, se conectam ao controlador de domínio do destino para acessar e executar remotamente o executável do ransomware, update.exe.
Diante disso tudo, a Sophos adverte: “um Ransomware, especialmente quando carregado diretamente em um dispositivo (como tem sido o caso nessas instâncias do Avos Locker), é um problema difícil de resolver porque é necessário lidar não apenas com o ransomware, em si, mas com quaisquer mecanismos que os agentes de ameaça configuraram como uma porta para a rede-alvo. Nenhum alerta, portanto, deve ser tratado como de ‘baixa prioridade’ nessas circunstâncias”.
Nova cepa de ransomware é responsável por um aumento de 400% nos ataques a organizações governamentais
Relativamente novo, o ransomware Pysa foi a cepa dominante por trás da maioria dos ataques ocorridos em novembro de 2021, sendo responsável por um aumento de 400% nos ataques a organizações governamentais, de acordo com uma análise da empresa de segurança NCC Group.
Pysa é uma das gangues de ransomware que utiliza a tática de extorsão dupla para pressionar suas vítimas a pagarem, ameaçando vazar os dados criptografados caso elas não cedam à extorsão. O grupo foi autor do vazamento de 50 organizações comprometidas no fim de 2021.
No geral, em novembro, o número de ataques do grupo Pysa aumentou 50%, o que significa que ele ultrapassou o grupo Conti para se juntar ao grupo Lockbit nas duas versões mais comuns do malware. Conti e Lockbit têm sido as cepas dominantes desde agosto, de acordo com o NCC Group.
Mas um ponto tem chamado a atenção dos especialistas: inexplicavelmente, o Pysa vaza dados de alvos semanas ou meses depois de tentar extorqui-los.
O FBI começou a rastrear a atividade do grupo em março de 2020 em ataques de ransomware contra o governo, instituições, setores privados e de saúde. O grupo geralmente emprega técnicas de phishing a fim de obter credenciais para comprometer conexões de protocolo da área de trabalho remota (RDP). O Pysa visa organizações de alto valor no setor financeiro, governamental e de saúde, observa o NCC Group.
225 milhões de senhas são encontradas em diretório hacker na internet
A UK National Crime Agency (NCA) e a National Cyber Crime Unit (NCCU) descobriram um cachê contendo 225 milhões de e-mails e senhas roubados em dezembro de 2021. Os dados foram entregues o HaveIBeenPwned (HIBP), serviço gratuito para rastrear credenciais roubadas e/ou vazadas através de dados anteriores violações, que já conta com 613 milhões de senhas comprometidas.
“Durante a atividade operacional recente da NCA, a equipe Mitigation @ Scale da NCCU foi capaz de identificar uma grande quantidade de credenciais potencialmente comprometidas (e-mails e senhas associadas) em uma instalação de armazenamento em nuvem comprometida”, disse a NCA em um comunicado ao HIPB.
“Por meio da análise, ficou claro que essas credenciais eram um acúmulo de conjuntos de dados de violações conhecidas e desconhecidas. O fato de terem sido colocados em uma instalação de armazenamento em nuvem de uma empresa do Reino Unido por criminosos desconhecidos significava que as credenciais agora existiam no domínio público e poderiam ser acessado por terceiros para cometer mais fraudes ou crimes cibernéticos.”
O HIPB oferece uma página exclusiva para usuários verificarem se suas senhas e e-mails foram comprometidos em violações.
2021 se encerra com perdas de 7,7 bilhões só em roubo de criptomoeda
Golpistas e criminosos cibernéticos focados no roubo de criptomoeda arrecadaram 7,7 bilhões de dólares em criptomoedas de vítimas em 2021, marcando um aumento de 81% nas perdas em relação a 2020, de acordo com a empresa de análise de blockchain Chainalysis.
Cerca de 1,1 bilhão desse valor foi atribuído a um único esquema, que supostamente tinha como alvo a Rússia e a Ucrânia.
Por outro lado, o número de depósitos trackeados como golpes caiu de pouco menos de 10,7 milhões para 4,1 milhões, o que poderia significar que havia menos vítimas de golpes individuais – mas elas estão perdendo mais dinheiro.
Uma grande fonte de perdas crescentes de criptomoedas em 2021 foram as chamadas “puxadas de tapete”, onde os desenvolvedores de uma nova criptomoeda desaparecem e levam os fundos dos apoiadores com eles. Esses golpes representaram 37% de toda a receita de roubos de criptomoeda em 2021, totalizando US $ 2,8 bilhões – ante apenas 1% em 2020.
Sem surpresa, os golpes também aumentam de acordo com o aumento no valor de criptomoedas populares, como Ethereum e Bitcoin.
Por fim, a Chainalysis observa: “a lição mais importante é evitar novos tokens que não foram submetidos a uma auditoria de código. Auditorias de código são um processo por meio do qual uma empresa terceirizada analisa o código do contrato inteligente por trás de um novo token ou outro projeto DeFi, e confirma publicamente que as regras de governança do contrato são rígidas e não contêm mecanismos que permitiriam aos desenvolvedores fugir com os fundos dos investidores.”
Mantenha seu negócio seguro contra as mais distintas ameaças. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!