A Sophos X-Ops conduziu uma nova pesquisa sobre uma campanha de ameaça ativa envolvendo vários grupos de ransomware. Os invasores estão usando uma combinação de bombardeio de e-mail (envio em massa de até milhares de e-mails ao longo de uma hora) e vishing (mensagens de voz fraudulentas) para se infiltrar em redes corporativas e roubar informações confidenciais.
ANÚNCIO
Clique para receber notícias de Tecnologia e Ciências pelo WhatsApp
Nesta campanha, os cibercriminosos se am por funcionários de e técnico do Microsoft Teams para induzir os funcionários a obter o remoto aos seus computadores. Uma vez lá dentro, eles baixam o Ransomware.
Investigação destes casos
A equipe do Sophos X-Ops relatou esta campanha pela primeira vez em janeiro, quando ela já havia afetado 15 empresas. Desde então, mais de 55 tentativas adicionais de ataque foram identificadas, de acordo com dados dos serviços de resposta a incidentes (IR) e monitoramento proativo (MDR) da marca. Além disso, um grupo separado adotou uma cadeia de ataque semelhante usando o ransomware conhecido como 3AM.
Este grupo adaptou suas táticas significativamente para aumentar suas chances de sucesso, incluindo:
- Implantar uma máquina virtual no computador comprometido para escapar das soluções de segurança de endpoint.
- Ataques personalizados seguem o reconhecimento detalhado do alvo, identificando endereços de e-mail e números de telefone específicos, até mesmo personificando o número de serviço de e da própria organização usando chamadas VoIP.
- Períodos de espera de até 9 dias para trabalho de reconhecimento antes de lançar o ataque de ransomware.
Sean Gallagher, pesquisador sênior de ameaças da Sophos, comenta: “A combinação de vishing e bombardeio de e-mails continua sendo uma estratégia eficaz para grupos de ransomware. O grupo por trás do 3AM encontrou uma maneira de utilizar a criptografia remota para escapar de softwares de segurança tradicionais. Dada a eficácia dessas técnicas de engenharia social, esperamos que essas campanhas continuem.”
LEIA TAMBÉM:
ANÚNCIO
Tesla construirá megafábrica na Austrália apesar da oposição: Elon Musk segue em frente
Adeus aos aplicativos? Assim seria o smartphone do futuro
Diferenças entre Nintendo Switch e Nintendo Switch 2: semelhança entre os dois levanta questões
Para se manterem protegidas, as empresas devem priorizar a conscientização dos funcionários e restringir rigorosamente o o remoto. Isso inclui políticas que bloqueiem a execução de máquinas virtuais e softwares de o remoto em computadores não autorizados, bem como o bloqueio do tráfego de rede de entrada e saída relacionado ao controle remoto, exceto em sistemas especificamente designados”, acrescenta o executivo.
