Ransomware que instala vulnerabilidade própria marca evolução dos ciberataques, diz Sophos

0

A Sophos divulgou nesta quinta-feira, 6, um novo relatório no SophosLabs Uncut, o 'Living off another land: Ransomware borrows vulnerable driver to remove security software', que mostra como cibercriminosos utilizaram, pela primeira vez na história, uma vulnerabilidade legítima própria para excluir produtos de segurança antes de executar o ransomware RobinHood.

O ransomware RobbinHood vem com um driver vulnerável e outro malicioso que tem como único propósito derrubar as defesas. O malicioso contém apenas código para 'matar', nada além disso. Então mesmo que o usuário tenha um computador com o sistema operacional Windows atualizado e sem vulnerabilidades conhecidas, o próprio ransomware fornece uma entrada ao invasor que o permite destruir as defesas antes de atacar.

"Nossa análise dos ataques de ransomware mostra o quão rápida e perigosamente a ameaça continua a evoluir", disse Mark Loman, diretor de engenharia da Sophos. "Esta é a primeira vez que vimos um ransomware trazer seu driver proprietário com assinatura legítima, mesmo que vulnerável, para assumir controle de um dispositivo e usá-lo para desativar o software de segurança instalado, ignorando as funcionalidades criadas especialmente para lidar com casos similares. Desativar a proteção deixa o malware livre para instalar e executar o ransomware sem interrupções", completa o executivo.

Para evitar ataques como estes, a Sophos recomenda uma abordagem em três etapas. Primeiro, uma vez que o ransomware dos ataques analisados utiliza múltiplas técnicas e táticas, os defensores precisam utilizar uma série de tecnologias para atrapalhar o máximo possível de etapas do ataque, integrar a nuvem pública em sua estratégia de segurança e ativar funcionalidades importantes, incluindo proteção contra adulteração, no software de proteção de terminais.

Em segundo lugar, aplicar fortes práticas de segurança como autenticação multifatorial, senhas complexas, direitos de acesso limitados, atualizações constantes, backup de dados e bloquear serviços de acesso remoto vulneráveis. Por último, mas não menos importante, continuar investindo em treinamentos de segurança para os funcionários.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.