Ainda na onda do COVID-19, cibercriminosos compartilham arquivos .ISO e .IMG com o intuito de instalar uma versão de RAT (Remote Access Trojan) em dispositivos corporativos

Se unindo às organizações que têm alertado sobre um aumento nas campanhas de ciberataque em função da pandemia do novo coronavírus, a Microsoft informa que os seus modelos avançados de machine learning para detecção de ameaças ajudaram sua equipe a identificar novas ameaças de spam (malspam) que estão distribuindo arquivos de imagem de disco infectados por malware.

A campanha, detectada na semana passada (fins de abril de 2020), está usando temas relacionados ao COVID-19 como assuntos de e-mail para induzir os usuários a baixar e executar anexos de arquivos .ISO ou .IMG.

Pelo twitter, a Microsoft alerta que esses arquivos estão infectados com uma versão de RAT (Remote Access Trojan), que possibilita aos hackers ter total controle sobre os hosts infectados.

Além disso, a empresa diz que os invasores são persistentes e estão lançando várias campanhas diferentes de spam, visando empresas de diferentes setores, em vários países do mundo. Algumas das tentativas de ataque incluem:

• Uma campanha do malware Remcos mirando pequenas empresas americanas que desejam obter empréstimos para situações de desastre – algo muito comum no contexto do COVID-19. Nesse caso, as empresas receberam e-mails que se passavam pela Administração de Pequenas Empresas dos EUA (SBA), com um anexo .IMG (imagem de disco) malicioso. O anexo continha um arquivo executável que usa um ícone PDF enganoso. Quando executado, o arquivo instala o Remcos RAT;
• Uma campanha voltada para empresas de manufatura na Coréia do Sul, onde os invasores enviaram às organizações um e-mail se passando pela Rede de Alerta de Saúde do Centro de Controle de Doenças (CDC) que anexava um arquivo .ISO malicioso. O arquivo ISO, por sua vez, continha um arquivo SCR malicioso, que instala o Remcos.
• Outra campanha de Remcos, que teve como alvo contadores nos EUA, com e-mails supostamente contendo "atualizações relacionadas ao COVID-19" para membros do Instituto Americano de CPAs (Certified Public Accountant). O anexo era um arquivo ZIP contendo a mesma combinação ISO + SCR vista na campanha sul-coreana.

O objetivo final dessa operação ainda é desconhecido. No entanto, os autores de tais ameaças podem estar procurando empresas para ataques futuros, como ransomware, golpes de BEC (business e-mail compromise) ou espionagem industrial.

"O principal alerta que queríamos emitir, já que foi o que mais nos chamou a atenção, diz respeito ao uso de iscas através do COVID-19 e também das técnicas ligeiramente diferentes que encontramos nesses ataques, além dos tipos de anexos que estão enviando", disse Tanmay Ganacharya, diretor de pesquisa de segurança da proteção contra ameaças da Microsoft, em entrevista à mídia norte-americana.

"Eles estão usando arquivos de imagem e arquivos ISO, o que não é comum. Não é a primeira vez que testemunhamos ataques do tipo, mas também não é comum que os invasores façam isso".

As empresas que recebem esses tipos de anexos de email são instruídas a não executar os arquivos anexados.

96% das ameaças atuais utilizam arquivos únicos por máquina

O diretor de pesquisa e segurança da Microsoft, Ganacharya, creditou a aposta da empresa no machine learning como a razão pela qual a empresa percebeu essa campanha, em primeiro lugar.

Hoje, o produto antivírus da Microsoft evoluiu das técnicas antigas e antiquadas de detecção de malware com base em assinaturas de arquivo.

Ganacharya diz que malwares polimorfos (malware que muda regularmente) e malwares sem arquivo (malware que roda apenas na RAM, sem vestígios no disco) agora são recursos amplamente utilizados por cibercriminosos. Isso coloca os fornecedores de antivírus sempre um passo atrás da maioria das operações de malware, se o antivírus depender apenas da detecção da presença de um arquivo inválido conhecido.

"O cenário de ameaças mudou significativamente com ataques sem arquivo, com polimorfismo… Em mais de 96% das ameaças que vemos em todo o mundo, o ataque é feito através de um arquivo único por máquina", disse Ganacharya.

Com tudo isso, os modelos de machine learning do Defender, antivírus da empresa, agora são a principal arma da empresa contra ataques de malware desconhecidos e agentes de ameaças, ajudando a Microsoft a detectar os ataques nos seus primeiros estágios.

Mas não basta investir só no antivírus

O antivírus é apenas um dos recursos de proteção que vão manter sua empresa segura. Embora, sim, sejam necessários para proteger alguns vetores de ataque, é necessário estar atento a todos os caminhos pelos quais um cibercriminoso pode ter acesso a seus dispositivos.

E especialmente ao elo mais fraco dessa cadeia: as pessoas.

Em tempos como este que vivemos, muitos cibercriminosos estão se aproveitando da vulnerabilidade para conseguir abrir uma brecha nas redes corporativas e arquitetar ciberataques de maior complexidade.

Apenas no primeiro trimestre deste ano, já foram registrados aumentos nos ataques de phishing, engenharia social e ransomware, por exemplo. Embora o investimentos em soluções completas de defesa seja fundamental para garantir que todas as frentes da rede do seu negócio estarão protegidas, é necessário também um trabalho de educação dos colaboradores para diminuir o risco desses ataques.

Orientações a respeito dos principais arquivos maliciosos, treinamentos de proteção e conhecimento são armas importantes para o combate ao crescimento dos ciberataques.

A Compugraf tem mobilizado diversos esforços para ajudar empresas e seus colaboradores a se conscientizarem sobre os riscos que estão correndo, particularmente agora que o trabalho remoto foi adotado em larga escala. São vídeos, lives e textos com dicas de nossos especialistas em segurança – tudo visando compartilhar o máximo possível de informação!

Acesse nossas redes, confira nosso material e não deixe de compartilhar com sua equipe!

Grupos de cibercriminosos não poupam nem a Organização Mundial de Saúde. Aumento nos ataques também foi observado em hospitais e seguradoras

Desde que a pandemia do COVID-19 teve início, a Organização Mundial de Saúde tem registrado um aumento significativo – e gradativo – no número de ciberataques direcionados à sua equipe, bem como de golpes por e-mail (phishing) direcionados ao público em geral, interessados em saber mais sobre o novo coronavírus.

Na semana do dia 20 de abril, por exemplo, cerca de 450 endereços de e-mail e senhas de usuários da OMS foram divulgados na internet, além de milhares de dados pertencentes a outros profissionais que trabalham no combate à pandemia.

Em comunicado oficial, a organização assegura que as credenciais vazadas não colocam em risco os sistemas da OMS, porque os dados não são recentes. No entanto, o ataque impactou um sistema extranet mais antigo, usado por funcionários atuais e aposentados, além de parceiros.

Agora, a OMS está migrando os sistemas afetados para um mais seguro, com recursos mais sofisticados de autenticação.

Além disso, hackers têm personificado a OMS em e-mails, mirando cada vez mais o público em geral, a fim de canalizar doações para um fundo fictício e não para o autêntico Fundo de Resposta Solidária ao COVID-19. O número de ataques cibernéticos agora é mais de cinco vezes o número direcionado à organização no mesmo período do ano passado, segundo consta no mesmo comunicado oficial.

“Garantir a segurança das informações Estados Membros da OMS e a privacidade dos usuários que interagem conosco são uma prioridade para a nossa organização em todos os momentos, mas também particularmente durante a pandemia do COVID-19. Somos gratos pelos alertas que recebemos dos Estados Membros e do setor privado. Estamos todos juntos nessa luta ”, informa Bernardo Mariano, diretor de informações da OMS.

Como medida adicional de proteção, a OMS está trabalhando junto ao setor privado para estabelecer sistemas internos mais robustos e fortalecer medidas de segurança, além de estar educando sua equipe sobre os potenciais riscos associados à segurança cibernética.

A OMS pede que o público permaneça vigilante contra e-mails fraudulentos e recomenda o uso de fontes confiáveis ​​para obter informações factuais sobre o COVID-19 e outros problemas de saúde.

O transtorno, porém, não se limita à Organização Mundial de Saúde.

Instituições de saúde estão ainda mais vulneráveis a ciberataques

As instituições de saúde como um todo, de hospitais a seguradoras, estão sujeitas a um aumento de ataques cibernéticos à medida que a pandemia de coronavírus continua a crescer.

Afinal, com tanta gente interessada em notícias a respeito do COVID-19, e com tanta gente trabalhando de casa, cibercriminosos têm uma oportunidade única em mãos para aplicar golpes que mexem justamente com essas vulnerabilidas.

Apesar disso, a alguns grupos de hackers prometeram não atacar o setor por enquanto.

Em declaração, hackers prometem não atacar o setor de saúde

Mais cedo este ano, nos primeiros momentos da pandemia, Lawrence Abrams, criador do BleepingComputer, procurou alguns grupos de criminosos cibernéticos para fazer uma pergunta simples: você continuará tendo como alvo organizações de saúde durante a pandemia do COVID-19?

Os primeiros a responder foram os operadores de ransomware conhecidos como DoppelPaymer, que disseram a Abrams que “sempre tentam evitar hospitais e casas de repouso”. Ao atacar alvos do governo local, eles “não tocam no 911″, embora algumas vezes as comunicações de emergência sejam atingidas devido a configurações incorretas da rede.

Além disso, disseram que se uma organização médica ou de saúde for atingida por engano, eles fornecerão um código de decodificador gratuito.

As empresas farmacêuticas, porém, não estão incluídas nessa anistia de ransomware.

Os operadores da ameaça Maze também disseram que parariam de atacar organizações médicas até ” que a situação com o vírus” se estabilizasse. Os atores do Maze não confirmaram se um decodificador estaria disponível caso as organizações de saúde fossem infectadas acidentalmente.

Mas os ciberataques ao setor de saúde continuam…

Em 15 de março, o Departamento de Saúde e Ciências Sociais dos EUA foi atingido por um ataque cibernético que visava interromper suas atividades de combate ao COVID-19.

Um hospital na República Tcheca, responsável pelo processamento de testes de coronavírus, também sofreu um ataque cibernético. O hospital foi forçado a desligar toda a sua rede de TI durante o incidente e duas outras filiais do hospital, o Hospital Infantil e a Maternidade, também foram impactadas. O objetivo desse ataque ainda não foi esclarecido.

No entanto, presume-se que o aumento nos ataques seja o resultado de um cálculo insensato dos cibercriminosos de que hospitais e outras organizações de saúde talvez paguem resgates ainda maiores para recuperar o controle de serviços críticos nestes tempos caóticos.

Algumas pesquisas observam que os cibercriminosos se preparavam para ataques futuros já em janeiro, quando começaram a comprar domínios da web quase idênticos aos usados ​​pela Organização Mundial de Saúde ou pelo Centro de Controle e Prevenção de Doenças.

Porém, mesmo antes da pandemia de coronavírus, os relatórios indicavam que os serviços de saúde são um dos maiores alvos dos ataques ransomware e cibernético.

Em 2017, a Força-Tarefa de Segurança Cibernética do Setor de Saúde, convocada pelo Departamento de Saúde e Serviços Humanos dos EUA, constatou que a segurança cibernética dos serviços de saúde estava em “condição crítica”.

Já um relatório de 2020 revelou que, no ano passado, no Reino Unido, 67% das organizações de saúde sofreram um incidente de segurança cibernética.

No Brasil, o risco não é tão grave quanto para países com influência mundial, como é o caso dos EUA ou do Reindo Unido. Ainda assim, o aumento no número de ataques visando o setor é preocupante e, portanto, vale o alerta. Afinal, como o vírus, um ciberataque é uma ameaça invisível, capaz atingir, a qualquer momento, qualquer um que esteja desprevenido.

Nas redes da Compugraf, ajudamos você e sua empresa a se proteger. Acompanhe nossos materiais e compartilhe com o seu time!