Para contornar o antivírus no seu computador Windows, os cibercriminosos estão usando cada vez mais ferramentas de administração legítimas. Essas ferramentas permitem que os hackers atuem sem serem detectados.
Os pesquisadores da Seqrite descobriram que os cibercriminosos estão explorando ferramentas legítimas do Windows para orquestrar ataques de ransomware. De acordo com especialistas, os hackers encontraram uma maneira de desabilitar o antivírus de um computador para atingir seus objetivos sem ficarem de frente para uma parede.
Entre as ferramentas que são massivamente utilizadas pelos hackers, encontramos software de administraçãodestinado principalmente a equipes de TI. Eles são usados principalmente para gerenciar processos, desbloquear arquivos ou intervir no sistema. O relatório Seqrite menciona, por exemplo, Process Hacker, IOBit Unlocker, PowerRun, AuKill, YDArk e até TDSSKiller. Do “Os utilitários antes considerados confiáveis tornaram-se agora alguns dos mais perigosos facilitadores de ataques informáticos”explica Seqrite.
Leia também: Lockbit está de volta em vigor com uma 5ª versão de seu ransomware
Como o Ransomware Kings explora ferramentas legítimas do Windows?
De acordo com investigações realizadas pela Seqrite, vários gigantes do ransomwarecomo LockBit 3.0, BlackCat, Dharma, Phobos ou MedusaLocker, adquiriram o hábito de sequestrar ferramentas de administração do Windows. Os hackers chegam ao ponto de incluir as ferramentas inicialmente legítimas em seus kits de hacking já prontos. Esses kits são vendidos a hackers por meio de assinaturas.
Os cibercriminosos normalmente seguem um plano de várias etapas para hackear um sistema. Eles começam explorando: observam como a empresa está configurada, onde as senhas são mais fracas e quais softwares de segurança estão mal ajustados ou desatualizados. Então eles vão desarmar as proteções da máquinaem particular o antivírus, “sem acionar um alerta”. Eles usarão ferramentas como IOBit Unlocker ou TDSSKiller para excluir arquivos de soluções de segurança e desativar todos os componentes em execução em segundo plano. Ao limpar os arquivos e componentes do antivírus, eles impedirão que ele reinicie na próxima vez que a máquina for iniciada.
“As ferramentas criadas para resolver problemas podem facilmente tornar-se armas para desmantelar a segurança, sem disparar um único alerta”dizem os pesquisadores.
Uma vez derrubadas as defesas, eles passam para a segunda fase do plano. Os hackers roubarão senhas da memória e plantarão vírus no nível mais baixo do Windows para passar despercebidos. Em última análise, eles são capazes de implantar o ransomware na máquina sem alertar o antivírus. Em “Ao neutralizar essas proteções, os invasores criam uma zona silenciosa onde o ransomware pode ser executado sem ser detectado”. Antes de partir, eles limpam os logs e vestígios técnicos, para complicar o trabalho dos investigadores e dificultar a compreensão do ataque.
O uso cada vez maior de ferramentas legítimas em ataques de ransomware está dificultando muito a tarefa dos especialistas em segurança e antivírus. A maioria das ferramentas de administração utilizadas passa despercebida pelas políticas de segurança tradicionais. É por isso que os piratas o utilizam cada vez mais para atingir seus objetivos. Para combater a tendência, os pesquisadores da Seqrite recomendam que as soluções de segurança rastreiem comportamentos anômalos, em vez de se concentrarem na identificação de software.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Seqrite