book_icon

Malwares de commodities foram a principal ameaça do segundo trimestre

Trata-se de  trojans facilmente baixados ou vendidos na Internet; pela primeira vez em mais de um ano o ransomware não foi a principal ameaça, segundo a Cisco Talos

Malwares de commodities foram a principal ameaça do segundo trimestre

Pela primeira vez em mais de um ano, o ransomware não foi a principal ameaça a que a equipe do Cisco Talos Incident Response (CTIR) respondeu neste segundo trimestre, já que os malwares de commodities superaram o ransomware por uma margem estreita. Isso provavelmente se deve a vários fatores, incluindo o fechamento de vários grupos de ransomware, seja por sua própria vontade ou pelas ações de agências e governos globais de aplicação da lei.

Segundo a especialista Caitlin Huey, da CTIR, o malware de commodities foi a principal ameaça observada nos meses de abril, maio e junho, um desenvolvimento notável, dada a diminuição geral nas observações de ataques que alavancam trojans de commodities em compromissos CTIR desde 2020. “Esses desenvolvimentos coincidem com um ressurgimento geral de certos trojans baseados em e-mail nos últimos meses, à medida que as empresas de aplicação da lei e de tecnologia continuam tentando interromper e afetar ameaças de malware baseadas em e-mail, como Emotet e Trickbot. Este trimestre apresentou malwares como o Remcos remote access trojan (RAT), Vidar infostealer, Redline Stealer e Qakbot (Qbot), um conhecido trojan bancário que nas últimas semanas foi observado em novos clusters de atividade fornecendo uma variedade de cargas úteis”, escreveu Caitlin no blog da companhia.

Curiosamente, em maio de 2022, o grupo Conti anunciou que estava encerrando as operações e, em junho, desligou grande parte de sua infraestrutura, incluindo servidores Tor usados ​​para vazar dados e negociar pagamentos de resgate

A vertical mais segmentada continua sendo as telecomunicações, seguindo uma tendência em que estava entre as verticais mais segmentadas no quarto trimestre de 2021 e no primeiro trimestre de 2022, seguida de perto por organizações dos setores de educação e saúde.

“Este trimestre viu um aumento notável nas ameaças de malware de commodities em comparação com os trimestres anteriores. O malware de commodities está amplamente disponível para compra ou download gratuito, normalmente não é personalizado e é usado por uma variedade de agentes de ameaças em vários estágios de suas operações e/ou para fornecer ameaças adicionais, incluindo muitas das variantes de ransomware”, observou Caitlin.

Ransomware

O ransomware continuou sendo uma das principais ameaças que afetam os clientes da Cisco. Dos compromissos de ransomware suportados pelo CTIR, este trimestre apresentou variantes de ransomware como serviço (RaaS) de alto perfil anteriormente vistas, como BlackCat (também conhecido como ALPHV) e Conti .

Em um envolvimento de ransomware BlackCat que afetou uma organização de telecomunicações dos EUA, o ransomware foi efetivamente bloqueado e não foi executado no ambiente. No entanto, ao longo do incidente, o CTIR analisou artefatos determinados como instâncias do Cobalt Strike com um carregador Delphi capaz de realizar operações de despejo de memória Mimikatz. O CTIR observou dois domínios maliciosos que redirecionavam para endereços IP conhecidos do Cobalt Strike.

Notavelmente, um dos domínios, standwithukraine[.]space, parece ser uma referência à guerra Rússia-Ucrânia em andamento. O CTIR também detectou vários downloads de arquivos para o módulo Secretsdump do Impacket(“secretsdump.exe”) que executa várias técnicas para coletar credenciais. Embora a aparência do carregador Delphi não seja novidade, o BlackCat se junta a outros grupos de ransomware, incluindo REvil/Sodinokibi que foram relatados alavancando o carregador Delphi para executar um binário Cobalt Strike.

Curiosamente, em maio de 2022, o grupo Conti anunciou que estava encerrando as operações e, em junho, desligou grande parte de sua infraestrutura, incluindo servidores Tor usados ​​para vazar dados e negociar pagamentos de resgate com as vítimas. Como os efeitos do fechamento da Conti ainda são desconhecidos no momento, uma variante RaaS relativamente nova apelidada de “Black Basta” é uma suspeita de re-marca da Conti, com base em semelhanças em sites de pagamento e vazamento e estilos de comunicação de alguns de seus membros . O Black Basta, embora inédito nos compromissos de resposta a incidentes até agora, começou a operar em meados de abril de 2022 e está ganhando notoriedade ao alavancar o trojan bancário Qakbot mencionado acima para se mover lateralmente em dispositivos comprometidos.

Serviço
blog.talosintelligence.com

 

Caitlin Huey

Cisco Talos Incident Response

malware

Ransomware

segurança

trojan

O seu endereço de e-mail não será publicado.


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.