WastedLocker vai à “caça aos grandes jogos” em 2020

WastedLocker vai à “caça aos grandes jogos” em 2020


Por Ben Baker, Edmund Brumaghin, JJ Cummings e Arnaud Zobec.

Resumo da ameaça

  • Depois de comprometer inicialmente as redes corporativas, o invasor por trás do WastedLocker realiza escalonamento de privilégios e movimentação lateral antes de ativar o ransomware e exigir pagamento por resgate.
  • O uso de ferramentas de “uso duplo” e “LoLBins” permite que os adversários evitem a detecção e fiquem fora do radar à medida que operam ainda mais em direção aos seus objetivos nos ambientes corporativos.
  • O WastedLocker é um dos exemplos mais recentes do uso contínuo dos adversários do movimento lateral e da escalada de privilégios para maximizar os danos causados ​​pelo ransomware.
  • O uso da “caça ao grande jogo” continua causando danos operacionais e financeiros significativos às organizações em todo o mundo.

fundo

O ransomware é uma séria ameaça para organizações em todo o mundo. É usado para interromper as operações nos sistemas de computação, para que os invasores possam extorquir vítimas e exigir pagamento, geralmente na forma de criptomoeda, para restaurar operações normais em sistemas infectados. À medida que os atores de ameaças por trás dos ataques de ransomware amadurecem em seus recursos, eles aprimoraram sua abordagem para gerar receita usando esse modelo de negócios. Uma evolução recente foi o uso de técnicas de escalada de privilégios e movimentos laterais antes da ativação de cargas úteis de ransomware em ambientes organizacionais.

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

Ao fornecer e ativar o ransomware em muitos sistemas diferentes nas redes corporativas simultaneamente, os invasores podem maximizar os danos que causam. Isso geralmente resulta em uma situação em que as organizações podem ter mais chances de pagar um pedido de resgate do que teriam sido caso houvesse apenas um único ponto final afetado. Em alguns casos, as estratégias organizacionais de backup e recuperação podem não ter sido adequadamente testadas em situações nas quais uma parte significativa de seu ambiente de produção é afetada adversamente ao mesmo tempo, o que pode fazer com que eles estejam mais dispostos a pagar uma demanda de resgate. Ele também permite que os adversários aumentem a quantidade de resgate que estão exigindo, geralmente resultando em demandas de resgate de centenas de milhares de dólares ou mais para recuperar sistemas infectados. Essa abordagem às vezes é chamada de “caça ao grande jogo”.

Leia Também  ACI obtém suporte para roteamento de segmento no MPLS

Os adversários usaram essa abordagem com mais frequência no ano passado. Um dos exemplos mais recentes disso é com o surgimento de um agente de ameaças que atualmente está alavancando uma família de ransomware conhecida como “WastedLocker”. O adversário por trás desses ataques está se aproveitando de vários conjuntos de ferramentas de “uso duplo”, como Cobalt Strike, Mimikatz, Empire e PowerSploit para facilitar o movimento lateral nos ambientes visados. Esses conjuntos de ferramentas geralmente são desenvolvidos para ajudar no teste de penetração ou em atividades de equipes em equipe, mas seu uso também é frequentemente cooptado por adversários mal-intencionados. Além disso, o uso da funcionalidade do sistema operacional nativo e o que é comumente chamado de “LoLBins” permite que os invasores evitem a detecção e operem sob o radar até que estejam prontos para ativar o ransomware e tornar sua presença conhecida.

Leia mais >>

Compartilhar:



cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br