Novas ameaças, vulnerabilidades não-corrigidas e evolução de estratégias de ransomware preocupam agentes de segurança. O que você vai ler hoje:REvil saiu de cena, mas um novo ransomware já ocupa seu lugarCibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais carosNovo cavalo de Troia atinge usuários de Android e rouba contas de redes sociaisNovas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidasREvil saiu de cena, mas um novo ransomware já ocupa seu lugarA gangue de ransomware REvil – também conhecida como Sodinokibi – saiu de cena em julho, logo depois de chamar a atenção do governo dos EUA com um ataque massivo de ransomware que afetou 1.500 organizações em todo o mundo.Não se sabe se o REvil sumiu de vez, mas cibercriminosos adeptos de esquemas de ransomware não vão esperar para descobrir: eles estão migrando para outros fornecedores e, de acordo com análises feitas por pesquisadores de segurança cibernética, o ransomware LockBit se tornou a alternativa preferida de invasores.Embora o LockBit não seja tão conhecido quanto algumas outras formas de ransomware, aqueles que o usam têm atingido seu objetivo e lucrado milhares de Bitcoins em pedidos de resgate.Além disso, os pesquisadores observam que muitos dos que agora recorrem ao LockBit estão usando as mesmas táticas, ferramentas e procedimentos que usavam anteriormente, quando trabalhavam com o REvil.Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais carosO valor médio de resgate de ransomware aumentou 82% ao longo dos últimos anos, e agora está acima de meio milhão de dólares, de acordo com um relatório que analisa o impacto dessa ameaça no primeiro semestre de 2021.Publicado pela Unidade 42 da Palo Alto Networks, em agosto deste ano, o relatório mostra que especialistas em cibersegurança associados à empresa identificaram e analisaram 121 incidentes de ransomware até agora em 2021 – um aumento de 64% nos ataques do ano passado para cá.Além disso, alerta que o que ajudou a intensificar os pagamentos de extorsão é os cibercriminosos estarem investindo bastante o dinheiro em “operações de ransomware altamente lucrativas”, escalando de uma estratégia de extorsão dupla para uma extorsão quádrupla.A extorsão dupla existe há mais de um ano e é quando os agentes da ameaça não só paralisam os sistemas e/ou dados da vítima, mas também ameaçam vazar os dados comprometidos ou usá-los em futuros ataques de spam se as vítimas se recusarem a pagar as demandas de extorsão.Mas, durante a primeira metade de 2021, os pesquisadores observaram grupos de ransomware geralmente usando até quatro técnicas para fazer as vítimas pagarem:Criptografia: as vítimas pagam para recuperar o acesso a dados e sistemas de computador comprometidos;Roubo de dados: os hackers divulgam informações confidenciais se o resgate não for pago;DoS: gangues de ransomware lançam ataques DoS que bloqueiam os sites públicos da vítima;Assédio moral: os cibercriminosos entram em contato com clientes, parceiros, funcionários e mídia para informar que a organização foi hackeada.Essas táticas “cada vez mais agressivas” inflaram resgates que já vinham se tornando cada vez mais custosos. No ano passado, o pagamento médio subiu 171%, para mais de 312 mil dólares. Durante o primeiro semestre deste ano, porém, esse valor disparou para um recorde de 570 mil dólares, em média.Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociaisUm novo cavalo de Troia visando usuários do Android, que atende pelo codinome FlyTrap, atingiu pelo menos 140 países desde março de 2021 e atingiu mais de 10.000 vítimas por meio de sequestro de mídia social, lojas de aplicativos e aplicativos de sideload.A evidência forense desse ataque ativo aponta para agentes de ameaça do Vietnã, que, ao que tudo indica, estão executando esta campanha de sequestro de sessão desde o primeiro trimestre do ano.As ameaças foram inicialmente distribuídas por meio do Google Play e de lojas de aplicativos de terceiros. Uma empresa especializada em segurança cibernética relatou as descobertas ao Google, que verificou a pesquisa fornecida e removeu os aplicativos maliciosos da Google Play Store. No entanto, os aplicativos maliciosos ainda estão disponíveis em repositórios de aplicativos terceirizados.O FlyTrap representa um risco para usuários ao sequestrar suas contas do Facebook por meio de um Trojan que infecta o dispositivo Android. As informações coletadas do dispositivo Android da vítima incluem:ID do FacebookLocalizaçãoEndereço de e-mail e endereço de IPCookie e tokens associados à conta do FacebookEssas sessões sequestradas do Facebook podem ser usadas para espalhar o malware abusando da credibilidade social da vítima por meio de mensagens pessoais com links para o Trojan, bem como propagação de propaganda ou campanhas de desinformação usando os detalhes de geolocalização da vítima.Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidasEm junho, informações técnicas e uma exploração de prova de conceito (Proof of Concept, ou PoC) vazaram acidentalmente, detalhando uma vulnerabilidade não-corrigida do Windows que permite a execução remota de código por parte de invasores.Apesar da necessidade de autenticação, a gravidade do problema é crítica, pois os agentes da ameaça podem usá-lo para assumir o controle de um servidor de domínio do Windows para implantar facilmente malware na rede de uma empresa.O problema afeta o Windows Print Spooler e, devido à longa lista de bugs que afetaram esse componente ao longo dos anos, os pesquisadores que detalharam a vulnerabilidade o chamaram de PrintNightmare.Agora, a Microsoft publicou um comunicado para outra vulnerabilidade zero-day do spooler de impressão do Windows, rastreada como CVE-2021-36958, que permite que invasores locais obtenham privilégios de sistema em um computador.Esta vulnerabilidade usa a diretiva de registro CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com um driver de impressão quando o usuário se conecta a uma impressora. Embora as atualizações de segurança recentes da Microsoft tenham alterado o procedimento de instalação do novo driver de impressora para que ele exija privilégios de administrador, não é preciso inserir privilégios de administrador se o driver já estiver instalado em um dispositivo.Além disso, a conexão com uma impressora remota ainda executará a diretiva CopyFile para usuários não-administradores. Este ponto fraco permite que a DLL do Delpy seja copiada para o usuário e executada para abrir um prompt de comando a nível de sistema.A Microsoft ainda não lançou uma atualização de segurança para esta falha, mas afirma que é possível remover o vetor de ataque desabilitando o Spooler de Impressão.Mas como desativar o spooler de impressão impedirá que seu dispositivo imprima qualquer coisa, um método mais eficaz é permitir que seu dispositivo instale apenas impressoras de servidores autorizados.Essa restrição pode ser feita usando a política “Apontar e imprimir – servidores aprovados”, evitando que usuários não-administrativos instalem drivers de impressão usando essa configuração.Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
Noticias Compugraf é reconhecida como uma das melhores empresas de Tecnologia da Informação do Brasil para trabalhar Leia mais
Noticias Microsoft alerta que eventos esportivos podem ser alvos de grandes ataques cibernéticos Leia mais
Noticias WormGPT: nova ferramenta de IA permite que cibercriminosos realizem ataques sofisticados Leia mais
