Investigadores da Kaspersky descobriram um novo grupo de ransomware que vem reforçar ainda mais a tendência já instalada de utilizar ransomware multiplataforma. O grupo, apelidado de Luna, utiliza Rust, linguagem de programação que foi anteriormente utilizada pelos gangs BlackCat e Hive e que permite migrar facilmente malware de um sistema operativo para outro. Esta descoberta, entre outras, faz parte do recente relatório sobre crimeware disponível na Securelist by Kaspersky.
O grupo Luna implementa malware escrito em Rust, cujas capacidades multiplataforma permitem ao grupo visar sistemas Windows, Linux e ESXi de uma só vez. O anúncio na Dark Web, identificado pela Kaspersky, afirma que o Luna só trabalha com afiliados fluentes em russo. Além disso, a nota de resgate codificada no binário contém alguns erros ortográficos – o que leva a Kaspersky a concluir que o grupo pode ser russo. Uma vez que o Luna é um grupo descoberto recentemente, ainda há poucos dados sobre as suas vítimas. A Kaspersky está a seguir ativamente a sua atividade.
Este grupo é mais uma prova da tendência recente para o ransomware entre plataformas, com línguas como Golang e Rust a serem fortemente implementadas por gangs de ransomware no ano passado. Um exemplo notável inclui o BlackCat e o Hive, este último utilizando tanto o Go como o Rust. Estas linguagens funcionam independentemente da plataforma, pelo que os ataques de ransomware escritos utilizando-as podem ser facilmente migrados de uma plataforma para outra. Os ataques podem então ser dirigidos a múltiplos sistemas operativos ao mesmo tempo.
Outra investigação recente da Kaspersky fornece uma visão mais profunda sobre a atividade do agente de ransomware Black Basta. Este grupo executa uma nova variante de ransomware escrita em C++ identificada pela primeira vez em Fevereiro de 2022. Desde então, o Black Basta tem conseguido atacar mais de 40 vítimas, principalmente nos Estados Unidos, Europa e Ásia.
Como a investigação de Kaspersky demonstrou, tanto o Luna como o Black Basta estão a visar sistemas ESXi, bem como Windows e Linux, o que é mais uma tendência de ransomware de 2022. ESXi é um hipervisor que pode ser utilizado independentemente em qualquer sistema operativo. Uma vez que muitas empresas migraram para máquinas virtuais baseadas em ESXi, tornou-se mais fácil para os atacantes encriptar os dados das vítimas.
"As tendências que delineámos no início deste ano parecem estar a ganhar força. Vemos cada vez mais grupos a utilizar linguagens multiplataforma para escrever os seus ataques de ransomware. Isto permite-lhes implementar o seu malware numa variedade de sistemas operativos. O aumento dos ataques às máquinas virtuais ESXi é alarmante e é expectável que mais e mais famílias de ransomware apliquem a mesma estratégia," comenta Jornt van der Wiel, Security Expert na Kaspersky.
Saiba mais sobre os grupos emergentes de ransomware em Securelist.
Para se proteger e ao seu negócio de ataques de ransomware, considere seguir estas dicas de segurança:
- Não exponha os serviços remotos (como o RDP) a redes públicas a menos que seja absolutamente necessário e utilize sempre palavras-passe fortes para os mesmos.
- Concentre a sua estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet.
- Preste especial atenção ao tráfego de saída para detetar ligações de cibercriminosos.
- Use soluções como a Kaspersky Endpoint Detection and Response Expert e Kaspersky Managed Detection and Response que podem ajudar a identificar e parar o ataque nas suas fases iniciais, antes de os atacantes atingirem os seus objetivos finais.
- Para proteger o ambiente corporativo, sensibilize as suas equipas. Cursos de formação dedicados podem ajudar, tais como os estão disponíveis na Kaspersky Automated Security Awareness Platform.
- Recorra às últimas atualizações de Threat Intelligence para ficar a par dos TTPs reais utilizados pelos atacantes. O Portal Kaspersky Threat Intelligence fornece um ponto de acesso único para as TI da Kaspersky, fornecendo dados de ciberataque e insights recolhidos pela por uma equipa especializada ao longo de 25 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o acesso a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso, sem qualquer custo. Solicite aqui o acesso a esta oferta.
Post A Comment:
0 comments: