Mercado abrirá em 4 h 6 min
  • BOVESPA

    108.651,05
    +248,77 (+0,23%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    47.241,81
    -113,05 (-0,24%)
     
  • PETROLEO CRU

    90,33
    -0,17 (-0,19%)
     
  • OURO

    1.808,50
    -3,80 (-0,21%)
     
  • BTC-USD

    23.074,00
    -729,72 (-3,07%)
     
  • CMC Crypto 200

    536,86
    -20,49 (-3,68%)
     
  • S&P500

    4.122,47
    -17,59 (-0,42%)
     
  • DOW JONES

    32.774,41
    -58,13 (-0,18%)
     
  • FTSE

    7.487,63
    -0,52 (-0,01%)
     
  • HANG SENG

    19.610,84
    -392,60 (-1,96%)
     
  • NIKKEI

    27.819,33
    -180,63 (-0,65%)
     
  • NASDAQ

    13.087,50
    +56,00 (+0,43%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2525
    +0,0198 (+0,38%)
     

Gangue de ransomware aproveita abertura no Defender para instalar malware

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Uma cadeia de comprometimento envolvendo a já conhecida brecha Log4J e uma abertura no sistema de linha de comando do Microsoft Defender está sendo usada por uma gangue de ransomware para estabelecer vetores de entrada em máquinas comprometidas. O foco do grupo LockBit, como sempre, é a intrusão em redes corporativas para instalação de ransomware que bloqueia computadores e rouba dados para a prática de extorsão.

Neste caso, há uma combinação de táticas focadas em evitar a detecção por softwares de segurança, o que inclui também o próprio Microsoft Defender. A partir de servidores VMWare Horizon ainda não atualizados para corrigir as falhas Log4J, os criminosos conseguem escalar os próprios privilégios em um dispositivo comprometido para rodar códigos PowerShell, que permitem escalar privilégios de usuário e abrir acesso a outros recursos do sistema operacional, bem como fazer download de arquivos maliciosos de servidores de controle.

É a partir daqui que acontece o mau uso de uma ferramenta de execução de códigos do Defender, o MpCmdRun.exe, que é usada para o carregamento paralelo de uma DLL contaminada. A versão baixada simula o nome de arquivo e até informações da própria Microsoft, mas é maliciosa, servindo para carregar beacons Cobalt Strike que estabelecem permanência nos computadores infectados e podem ser usados mais tarde para a realização de ataques.

O alerta sobre o novo vetor de ataque foi feito pela empresa de segurança Sentinal Labs, que cita essa como uma nova via ofensiva para o grupo LockBit. Os criminosos, originalmente, usavam a brecha Log4J diretamente para infiltração em redes comprometidas, mas a notoriedade da falha pode estar começando a comprometer a taxa de ataques bem-sucedidos, levando os bandidos a explorarem novos caminhos.

<em>Ataque usa versão comprometida de DLL legítima, utilizada pelo Microsoft Defender em ações de linha de comando; falha Log4J também é explorada em cadeia de comprometimento (Imagem: Reprodução/Sentinel Labs)</em>
Ataque usa versão comprometida de DLL legítima, utilizada pelo Microsoft Defender em ações de linha de comando; falha Log4J também é explorada em cadeia de comprometimento (Imagem: Reprodução/Sentinel Labs)

A nova tática é baseada em ataques do tipo “living off the land”, ou “vivendo da terra” em inglês, que se categorizam pelo uso de softwares e sistemas legítimos, neste caso, o Microsoft Defender. A ideia é aumentar a capacidade de furtividade dos golpes, ao mesmo tempo em que se garante a persistência em sistemas comprometidos para a realização de ataques posteriores ou a venda de acesso a terceiros interessados em fazerem isso.

O grupo LockBit é um dos mais conhecidos e perigosos do cenário de ransomware atual. Entre nomes globais como Accenture e órgãos governamentais de países como Itália e Reino Unido está o Brasil. Por aqui, a Atento se tornou uma das principais vítimas da quadrilha, com nosso país também sendo o terceiro mais atingidos pelos ataques do bando.

Indicadores de comprometimento e outros detalhes técnicos sobre esse ataque estão disponíveis no alerta emitido pela Sentinel Labs. Os especialistas recomendam que o monitoramento seja efetuado sobre todo tipo de software disponível na rede de uma corporação, principalmente aqueles que normalmente passariam longe de escrutínio, como é o caso das ferramentas de segurança.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos