Lazarus Group está por trás de trojans de criptografia

31. julho 2020
| Sem comentários
Notícias Cibersegurança B2B

Compartilhar postagem

O backdoor MATA da estrutura de malware multiplataforma foi usado no ransomware VHD, expondo o grupo APT Lazarus como os patrocinadores do .

Ao analisar dois casos de ransomware VHD em ataques na Europa e na Ásia, os pesquisadores da Kaspersky conseguiram vinculá-los ao notório grupo APT norte-coreano Lazarus. Tanto o desenvolvimento do ransomware quanto o histórico motivado financeiramente apontam para uma mudança de estratégia do grupo; ambos são altamente incomuns para um grupo APT patrocinado pelo governo.

Em março e abril de 2020, houve os primeiros relatos do chamado ransomware VHD, que se caracteriza por sua capacidade de autorreplicação e visa extorquir dinheiro de suas vítimas. Usar um programa compilado com credenciais específicas da vítima para espalhar o malware é semelhante ao que as campanhas APT fazem. Os pesquisadores da Kaspersky conseguiram vincular o ransomware ao grupo Lazarus APT depois de analisar um incidente no qual o ransomware VHD foi usado em estreita associação com ferramentas conhecidas do Lazarus contra empresas na França e na Ásia.

Backdoor da estrutura de malware multiplataforma MATA expõe apoiadores

Entre março e maio de 2020, os especialistas da Kaspersky conduziram duas investigações independentes relacionadas ao ransomware VHD. No primeiro incidente na Europa, havia poucas evidências sobre quem estava por trás dos ataques, embora as técnicas de propagação fossem semelhantes às usadas pelos grupos APT. Em geral, o ataque não estava de acordo com o modus operandi usual de grupos conhecidos visando alvos grandes e significativos. Além disso, havia apenas um número muito limitado de amostras de malware ransomware e casos divulgados, sugerindo que essa família de malware pode não ser amplamente comercializada em fóruns clandestinos, como de costume.

No entanto, no segundo ataque, no qual o ransomware VHD foi usado, a cadeia de infecção pôde ser rastreada; os pesquisadores foram capazes de vincular o malware ao grupo Lazarus. Entre outras coisas, as pessoas por trás do ataque usaram um backdoor que faz parte da estrutura multiplataforma MATA – sobre o qual a Kaspersky relatou recentemente em detalhes – e pode ser atribuído a esse grupo APT devido a semelhanças no código e nas ferramentas. De acordo com os dados de telemetria da Kaspersky, as vítimas infectadas pelo framework MATA estavam localizadas na Alemanha, Polônia, Turquia, Coréia, Japão e Índia.

Trojan de criptografia VHD: Descobertas de ataques avaliados

Essas descobertas sugerem que o Lazarus está por trás das campanhas de ransomware VHD detectadas até agora. O ransomware utilizado foi desenvolvido e operado pelo próprio grupo, o que é bastante incomum no meio do cibercrime.

"Sabíamos que as atividades do Lazarus sempre visavam ganhos financeiros, mas desde WannaCry [4] não houve nenhuma atividade relacionada a ransomware do grupo", comenta Ivan Kwiatkowski, pesquisador de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. . “Embora seja evidente que o grupo não consegue igualar a eficiência de outros cibercriminosos com essa abordagem do tipo invasão ao ransomware, é preocupante que eles tenham se voltado para esse tipo de ataque. A ameaça global de ransomware já é grande o suficiente e geralmente tem um impacto financeiro significativo nas vítimas, às vezes levando-as à falência. A pergunta que precisamos fazer é se esses ataques são uma experiência única ou parte de uma nova tendência e, portanto, se as empresas privadas precisam se preocupar em não serem vítimas de agentes de ameaças patrocinados pelo Estado. Independentemente disso, as organizações precisam estar cientes de que a privacidade é mais importante do que nunca. Fazer backup de dados essenciais e investir em defesas reativas é uma necessidade absoluta.”

Dicas da Kaspersky para se proteger contra ataques de ransomware

  • Eduque os funcionários sobre como o phishing espalha o ransomware e o que os funcionários devem observar para evitar serem comprometidos pelo ransomware. Conceitos especiais de treinamento, como o Kaspersky Automated Security Awareness Platform, podem ajudar aqui.
  • As empresas devem garantir que todas as soluções de software, aplicativos e sistemas utilizados estejam sempre atualizados. O uso de uma solução de segurança com funções de gerenciamento de vulnerabilidades e patches, como o Kaspersky Vulnerability and Patch Management, ajuda a identificar vulnerabilidades não corrigidas em sua própria rede.
  • Realize auditorias regulares de segurança cibernética de suas próprias redes e elimine as vulnerabilidades descobertas.
  • Todos os endpoints e servidores devem ser protegidos com uma solução abrangente. Uma solução correspondente, como o Kaspersky Integrated Endpoint Security, combina segurança de endpoint com sandbox e funcionalidade EDR, permitindo proteção contra ameaças conhecidas e desconhecidas.
  • A equipe de segurança deve sempre ter dados de inteligência de ameaças atualizados para ficar a par de ferramentas, técnicas e táticas novas e emergentes usadas por agentes de ameaças e cibercriminosos.
  • Ransomware é uma ofensa criminal. Portanto, as empresas que se tornam vítimas nunca devem responder a pedidos de resgate e não devem pagar. Em vez disso, o incidente deve ser relatado à polícia local. Além disso, existem ferramentas gratuitas de descriptografia em nomoreransom.orgquem pode restaurar os dados, se necessário.

 

Saiba mais em Securelist.com da Kaspersky

 

Sobre Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

mensagens de relações públicas
, , , ,