PMEs em foco: a Sophos apresenta seu estudo mais recente sobre o ransomware LockBit. Duas técnicas se destacam: primeiro, usando ferramentas automatizadas para infectar determinados softwares fiscais e contábeis em redes invadidas com ransomware e, segundo, renomear arquivos PowerShell para se disfarçar.
“Os invasores LockBit usam ferramentas de ataque automatizadas para identificar alvos promissores”, resume Sean Gallagher, pesquisador sênior de ameaças da Sophos. A análise revela como os criminosos usam as ferramentas do PowerShell para procurar aplicativos de negócios específicos em redes invadidas, incluindo software fiscal e contábil. Se uma impressão digital gerada por essa pesquisa corresponder aos critérios de palavras-chave, as ferramentas executam automaticamente várias tarefas, incluindo o lançamento do ataque LockBit.
Novos métodos de ataque identificados
Os pesquisadores também foram capazes de identificar uma série de novos vetores de ataque que permitem que o LockBit evite a detecção. Isso inclui renomear arquivos do PowerShell e usar um Google Doc remoto para comunicação de comando e controle. Devido à natureza altamente automatizada dos ataques, uma vez iniciado, o ransomware pode se espalhar pela rede em cinco minutos, excluindo simultaneamente seus logs de atividade.
Os invasores LockBit visam especificamente empresas menores como vítimas
“O interesse da LockBit em aplicativos de negócios específicos e palavras-chave indica que os invasores claramente queriam identificar sistemas valiosos para empresas menores - sistemas que armazenam dados financeiros e lidam com operações do dia-a-dia - a fim de pressionar massivamente as vítimas a pagar ', disse Gallagher . “Vimos ransomware congelar aplicativos de negócios enquanto eles são executados, mas esta é a primeira vez que os invasores procuram por tipos específicos de aplicativos com uma abordagem automatizada para identificar possíveis alvos”.
Grupo de ransomware LockBit segue facções de ransomware como Ryuk
“A gangue LockBit parece estar seguindo outros grupos de gângsteres cibernéticos, incluindo Ryuk. A Sophos descobriu recentemente sobre esse grupo usando o Cobalt Strike. São ferramentas adaptadas desenvolvidas para testes de penetração para automatizar e acelerar ataques. Nesse caso, os scripts do PowerShell ajudam os invasores a identificar sistemas que hospedam aplicativos com dados particularmente valiosos. Dessa forma, eles não querem perder tempo com vítimas menos propensas a pagar.”
Uso indevido de ferramentas legítimas e modificação da proteção antimalware
Os invasores do LockBit tentam ocultar suas atividades fazendo com que pareçam tarefas administrativas automatizadas normais e usando ferramentas legítimas: por exemplo, os criminosos criam cópias disfarçadas de componentes de script do Windows e usam o Agendador de Tarefas do Windows para iniciá-los. Além disso, eles modificam a proteção antimalware integrada para que ela não funcione mais.
“A única maneira de se defender contra esses tipos de ataques de ransomware é por meio de uma defesa em várias camadas com uma implementação consistente de proteção antimalware em todos os sistemas. Se os serviços forem deixados desprotegidos ou mal configurados, os invasores podem facilmente explorá-los”, conclui Gallagher.
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.