Desde há três dias, inúmeras organizações a nível mundial estão a ser afectadas por uma nova variante de malware identificada pela Talos, a Divisão de Inteligência de CIbersegurança da Cisco como sendo o ransomware “Nyetya” devido às diferenças relativamente às variantes Petya, Petrwrap ou GoldenEye.

O comportamento deste malware é o de um worm que, como o ransomware WannaCry que infectou sistemas em todo o mundo no mês de Maio, se estende lateralmente a toda a rede afectada sendo, a única diferença do novo ataque, a sua propagação interna, não percorrendo a internet através de componentes externos como o email.

O Nyetya utiliza três formas de se instalar quando se encontra na rede e que são o Eternal Blue, o protocolo SMB da Microsoft, também utilizado pelo WannaCry no mês passado, o Psexec,  uma ferramenta legítima de administração do Windows e a WMi uma componente legítima do Windows.

A nova variante de ransomware cifra o Master Boot Record (MBR) da máquina infectada e pede um resgate em bitcoins para a recuperação dos dados.

A Talos concluiu, pela sua análise, que este ciberataque se iniciou na Ucrânia através da actualização de um software para um programa de gestão de impostos, o MeDoc, que é utilizado por muitas organizações ucranianas ou com relações comerciais com a Ucrânia, tendo este ataque afectado, também, organizações em França, Reino Unido, Dinamarca, Russia, Espanha e Estados Unidos.

Quando a vulnerabilidade foi conhecida em Abril, as soluções de segurança da rede da Cisco, como a Firepower NGFW, Firepower NGIPS e Meraki MX foram de imediato actualizadas para detectar e parar esta actividade nas conexões SMB. Foram também actualizadas com informação sobre este ransomware as soluções de segurança e protecção face ao malware avançado da Cisco (AMP, Advanced Malware Protection) para o detectar e bloquear.

Para que as organizações se possam proteger de qualquer variante de ransomware ou qualquer outro malware a Cisco recomenda que utilizem sistemas operativos com apoio e actualizados, que protejam efectivamente os terminais, recomenda ainda a utilização de software anti-malware e a aplicação das actualizações regularmente e, finalmente, ter um plano de recuperação contra desastres com cópias de segurança de dados offline.

O Relatório Semestral de Cibersegurança de Julho, da Cisco, prevê o aparecimento de novas variantes de ransomware ainda mais destrutivas e capazes de se auto-replicar e sequestrar redes inteiras, assinalando ainda que as ramificações de malware modular poderão mudar as suas tácticas rapidamente para maximização da sua eficácia. Ou seja, os futuros ataques de ransomware ocultarão a sua detecção, limitando a utilização do CPU, evitando assim acções “command-and-control”, o que permitirá espalharem-se mais rapidamente.

• Adicionar novo
• Busca
• RSS

Comentários (0)

Escrever um comentário

Your Contact Details:

Nome:

E-mail: não notificarnotificar

Website:

Comentário:

Título:

UBBCode:         -cor-aquablackbluefuchsiagraygreenlimemaroonnavyolivepurpleredsilvertealwhiteyellow -tamanho-minúsculopequenomédiograndemuito grande

Message:

Security

Por favor coloque o código anti-spam que você lê na imagem.

Powered by !JoomlaComment 4.0 beta2