book_icon

Ransomware que instala vulnerabilidade própria marca evolução dos ciberataques

O ransomware RobbinHood vem com um driver vulnerável e outro malicioso que tem como único propósito derrubar as defesas
Ransomware que instala vulnerabilidade própria marca evolução dos ciberataques

A Sophos divulgou nesta quinta-feira, seis de fevereiro, um novo relatório no SophosLabs Uncut, o ‘Living off another land: Ransomware borrows vulnerable driver to remove security software’, que mostra como cibercriminosos utilizaram, pela primeira vez na história, uma vulnerabilidade legítima própria para excluir produtos de segurança antes de executar o ransomware RobinHood.
O driver malicioso contém apenas código para ‘matar’, nada além disso. Então mesmo que o usuário tenha um computador com o sistema operacional Windows atualizado e sem vulnerabilidades conhecidas, o próprio ransomware fornece uma entrada ao invasor que o permite destruir as defesas antes de atacar.

“Esta é a primeira vez que vimos um ransomware trazer seu driver proprietário com assinatura legítima, mesmo que vulnerável, para assumir controle de um dispositivo e usá-lo para desativar o software de segurança instalado, ignorando as funcionalidades criadas especialmente para lidar com casos similares.” 

“Nossa análise dos ataques de ransomware mostra o quão rápida e perigosamente a ameaça continua a evoluir”, disse Mark Loman, diretor de engenharia da Sophos. “Esta é a primeira vez que vimos um ransomware trazer seu driver proprietário com assinatura legítima, mesmo que vulnerável, para assumir controle de um dispositivo e usá-lo para desativar o software de segurança instalado, ignorando as funcionalidades criadas especialmente para lidar com casos similares. Desativar a proteção deixa o malware livre para instalar e executar o ransomware sem interrupções”, completa o executivo.
Para evitar ataques como estes, a Sophos recomenda uma abordagem em três etapas. Primeiro, uma vez que o ransomware dos ataques analisados utiliza múltiplas técnicas e táticas, os defensores precisam utilizar uma série de tecnologias para atrapalhar o máximo possível de etapas do ataque, integrar a nuvem pública em sua estratégia de segurança e ativar funcionalidades importantes, incluindo proteção contra adulteração, no software de proteção de terminais.
Em segundo lugar, aplicar fortes práticas de segurança como autenticação multifatorial, senhas complexas, direitos de acesso limitados, atualizações constantes, backup de dados e bloquear serviços de acesso remoto vulneráveis. Por último, mas não menos importante, continuar investindo em treinamentos de segurança para os funcionários.
Para saber mais sobre os ataques e como o RobbinHood funciona, acesse o estudo ‘Living off another land: Ransomware borrows vulnerable driver to remove security software’.
Serviço
www.sophos.com

evolução dos ciberataques

Mark Loman

o 'Living off another land: Ransomware borrows vulnerable driver to remove security software'

Ransomware

ransomware RobinHood

Sophos

SophosLabs Uncut

Últimas Notícias
Você também pode gostar

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital

Agenda & Eventos

Cadastre seu Evento