Ter um insider implementando malware deliberadamente parece implausível. No entanto, como mostram as evidências do mundo real , alguns invasores acham que esse método de entrega de ransomware é eficaz e alguns invasores agora estão recrutando funcionários da empresa, oferecendo-lhes uma porcentagem do resgate.

Um esquema de entrega de criativos

Por mais absurdo que pareça, alguns procuram cúmplices por meio do spam. Por exemplo, uma mensagem oferece diretamente “40%, $ 1 milhão em bitcoin” para qualquer pessoa disposta a instalar e implantar o ransomware DemonWare no servidor Windows principal de sua organização.

Os pesquisadores disfarçados de cúmplices interessados ​​receberam um link para um arquivo junto com as instruções para iniciar o malware. No entanto, a pessoa por trás da correspondência era aparentemente um cibercriminoso inexperiente; os pesquisadores não tiveram problemas para fazê-lo falar. O ator da ameaça em questão era um jovem nigeriano que vasculhou o LinkedIn em busca de executivos seniores para entrar em contato. Ele abandonou seu plano original - enviar malware por e-mail - assim que percebeu o quão fortes são os sistemas de segurança cibernética corporativa.

O que há de errado com o esquema?

Para convencer seus alvos de que sua participação seria segura, o ator da ameaça alegou que o ransomware apagaria todas as evidências do crime, incluindo qualquer possível filmagem de segurança, e recomendou a exclusão do arquivo executável para evitar deixar pistas. Pode-se esperar que o criminoso planejou enganar seus cúmplices - sem dúvida, uma vez que o servidor foi criptografado, ele não se importaria com o que acontecesse com a pessoa que o fez - mas ele não parece ter entendido como as investigações forenses digitais funcionam.

A decisão de usar DemonWare também revelou sua inexperiência. Embora os invasores ainda usem o DemonWare, na verdade ele é um malware pouco sofisticado, cujo código-fonte está disponível no GitHub. O criador do malware supostamente o fez para demonstrar como é fácil escrever ransomware.

Como se manter seguro

Embora este exemplo seja apenas isso - um exemplo específico - os insiders que participam de um ataque de ransomware são totalmente realistas. Muito mais provável do que alguém lançar malware em uma rede, entretanto, é um cenário em que alguém vende acesso ao sistema de informações de uma organização.

O mercado de acesso a redes corporativas existe há muito tempo na dark web, e os resgatadores geralmente compram o acesso de outros cibercriminosos - os chamados Initial Access Brokers. São eles que podem estar especificamente interessados ​​em comprar dados para acesso remoto à rede da organização ou aos servidores em nuvem. Anúncios dessas compras destinadas a funcionários insatisfeitos ou demitidos flutuam na dark web.

Para garantir que ninguém comprometa a segurança de sua empresa ao permitir que resgatadores entrem em suas redes, recomendamos que você:

Adote uma estratégia de privilégio mínimo;

Manter registros cuidadosos das tentativas de acesso à rede e aos servidores da organização e revogar direitos e alterar senhas quando os funcionários forem demitidos;

Instale em todos os servidores soluções de segurança que podem combater o malware atual;

Use soluções de detecção e resposta gerenciadas , que ajudam a identificar atividades suspeitas em sua infraestrutura antes que os invasores tenham a chance de infligir danos graves.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.