São Paulo — InkDesign News — Uma nova campanha de ransomware chamada Crypto24 tem desencadeado preocupações significativas no cenário de segurança cibernética, marcando uma “evolução perigosa” nas táticas de ataque.
(“a ‘dangerous evolution’ in the threat landscape.”)
Vetor de ataque
Pesquisadores da Trend Micro relataram que os ataques realizados pelos atores do Crypto24 utilizam uma combinação de técnicas avançadas de evasão e ferramentas personalizadas que podem incapacitar soluções de Detecção e Resposta de Endpoint (EDR), incluindo a própria plataforma Vision One da Trend Micro. O grupo aproveitou uma versão personalizada do RealBlindingEDR, uma ferramenta de código aberto que desabilita soluções de segurança, exemplificando suas capacidades de manobra em torno das defesas modernas.
Impacto e resposta
A recente campanha se voltou especialmente contra grandes empresas nos setores de serviços financeiros, manufatura, entretenimento e tecnologia na Ásia, Europa e EUA. Os pesquisadores observaram que os atacantes desinstalaram remotamente o Trend Vision One utilizando um utilitário legítimo chamado gpscript.exe após ganhar privilégios elevados em sistemas comprometidos. “O que observamos representa um exemplo clássico de táticas de ‘living off the land’, onde atores de ameaça aproveitam ferramentas administrativas legítimas para avançar em seus ataques”
(“a classic example of ‘living off the land’ tactics, where threat actors leverage legitimate administrative tools to further their attacks in post-compromise scenarios.”)— Trend Micro Research.
Análise e recomendações
A Trend Micro sublinha a importância de sistemas “devidamente configurados” com controles de acesso robustos para prevenir ataques como os do Crypto24. É recomendável que organizações implementem medidas de anti-tampering para impedir que atores maliciosos desativem produtos de segurança. Além disso, a ativação da funcionalidade de auto-proteção do agente da Trend assegura que usuários locais não possam manipular ou desinstalar quaisquer produtos da Trend, preservando a integridade do endpoint.
Também é aconselhável auditar regularmente contas privilegiadas, limitar o uso do Protocolo de Área de Trabalho Remota (RDP) a sistemas autorizados e inspecionar tarefas agendadas e criações de serviços em busca de sinais de atividades maliciosas.
Com o Crypto24 focado na “caça a grandes alvos”, a tendência é que organizações deem prioridade à segurança cibernética e à defesa contra esse novo vetor de ataques.
(“big game hunting.”)
Fonte: (Dark Reading – Segurança Cibernética)
