Em 12 de maio, os especialistas da Kaspersky Lab
publicaram um grande relatório sobre a evolução dos ataques com criptografia de dados e extorsão subsequente. O artigo se concentra principalmente na organização desse negócio criminoso e examina ataques a grandes empresas. Uma das tendências claras do ano foi a caça ao “big game” por gangues criminosas - organizações relativamente grandes capazes de pagar um resgate sério em moeda digital. O relatório surge em meio a notícias diárias de ataques a empresas, incluindo eventos de alto perfil, como o ataque à empresa Colonial Pipeline.
O mais importante a saber sobre esses grupos é que eles são complexos e não funcionam de forma autônoma. Não será possível livrar-se desta ameaça, mesmo que os organizadores de uma campanha separada sejam encontrados e presos. O ecossistema só vai parar de funcionar se perder sua renda, ou seja, quando as pessoas afetadas deixarem de pagar o resgate. O estudo fornece exemplos de recrutamento de novas organizações e identifica funções típicas: fornecedores de credenciais, desenvolvedores de malware, analistas responsáveis pela lavagem de criptomoedas.
O mito mais relevante, que é refutado no artigo, é a afirmação de que os alvos dos ataques são selecionados com antecedência. Na verdade, eles são encontrados aleatoriamente. Na maioria das vezes, os proprietários de botnets e corretores que vendem acesso a computadores e servidores comprometidos publicam informações sobre vítimas em potencial e os objetivos são determinados "com base na disponibilidade". Há uma recomendação importante para profissionais de segurança de TI aqui: você precisa detectar atempadamente incidentes individuais relacionados à penetração no perímetro protegido ou infecção por malware. Pode haver um lapso de tempo entre esta primeira chamada e um ataque em grande escala para evitar consequências graves.
O estudo detalha as atividades de dois grandes grupos de ransomware, REvil e Babuk. Entre outras coisas, há uma pressão mais agressiva sobre as vítimas em potencial, motivando-as a pagar o resgate com mais rapidez. Para tanto, são criados sites com exemplos de dados roubados na darknet e informações sobre vazamentos “vazadas” na mídia. Por outro lado, o suporte à vítima é aprimorado para facilitar a "experiência do cliente" - por exemplo, um bate-papo separado é criado para se comunicar com o ransomware. Em uma publicação anterior dos especialistas da Kaspersky Lab sobre o tópico de ransomware “personalizado”, foi observada uma diminuição no número de ataques em grande escala. O novo relatório mostra para onde a atenção dos cibercriminosos mudou e detalha a transformação das operações criminosas em um negócio complexo e ramificado.
O que mais aconteceu
O ataque à operadora do Oleoduto Colonial nos Estados Unidos resultou em uma breve interrupção no fornecimento de derivados de petróleo na costa leste do país, gerou pânico nos postos de gasolina e pode levar a novas mudanças nas medidas de combate ao crime cibernético. Houve muitas publicações sobre este ataque na semana passada, mas nem todas as informações foram confirmadas. Aqui estão os artigos mais interessantes:
- Uma análise da facção DarkSide reivindicando a responsabilidade pelo ataque de Brian Krebs. Mais cedo no Twitter, ele comentou de brincadeira ou sério um fato óbvio sobre programas maliciosos de criptografia com raízes na língua russa: eles evitam um sistema com layout cirílico.
A localização também foi observada no relatório da Kaspersky Lab, mas em um contexto diferente: os organizadores de ataques que falam russo tentam não trabalhar com parceiros que falam inglês, temendo contra-ataques ou vazamento de informações. Para um teste de proficiência de idioma, um exemplo sugere o uso do folclore local.
- Uma análise das características técnicas do malware usado pelo DarkSide em ataques anteriores.
- Oficialmente confirmado a informação segundo a qual Colonial Pipeline pago os extorsionários $ 5 milhões. Ele afirma que os organizadores do ataque perdeu o acesso à sua infra-estrutura, bem como para carteiras de criptografia.
- Análise da movimentação de fundos em carteiras Bitcoin, presumivelmente pertencentes à DarkSide.
Além deste incidente, "IB-life" está acontecendo normalmente. O grande evento foi o estudo de vulnerabilidades em dispositivos e no próprio protocolo wi-fi. A coleção de ataques Fragattacks ( site do projeto, discussão sobre Habré) explora vulnerabilidades que não dependem do tipo de criptografia (até WPA3), e podem ser usados para roubar dados ou redirecionar o usuário para recursos maliciosos.
O pesquisador sueco Pontus Johnson encontrou uma vulnerabilidade no conceito de uma máquina de Turing universal , proposta em 1967 ( artigo The Register, artigo de pesquisa ) Neste exercício puramente teórico, foi encontrada uma maneira de executar código arbitrário. Motivo: Falta de validação de entrada. É
proposto um método para transferir dados arbitrários e receber informações de dispositivos baseados em iOS e MacOS. A vulnerabilidade do protocolo Bluetooth e os recursos da tecnologia Find My são usados para encontrar dispositivos perdidos.
A MSI alerta sobre sites falsos que distribuem malware sob o disfarce do popular utilitário de overclocking Afterburner.