Área do Cliente

Polícia federal deflagra a Operação Grandoreiro visando o grupo criminoso responsável pelo malware Grandoreiro

O grupo criminoso responsável pelo trojan bancário Grandoreiro foi responsável por um esquema de fraude bancária que roubou, pelo menos,  4 milhões de dólares desde 2019.

No dia 30 de janeiro, a polícia federal deflagrou a Operação Grandoreiro visando encerrar as operações do grupo brasileiro que atua no Brasil e no exterior.

O malware Grandoreiro

O trojan bancário Grandoreiro está ativo pelo menos desde 2017. O seu foco inicial era o Brasil e o Peru, porém desde 2019 começou a incluir a Espanha e o México na sua lista de alvos.

O objetivo é roubar credenciais bancárias das vítimas exibindo janelas falsas para enganar os usuários fazendo-os acreditar que trata-se de sites legítimos de seus bancos.

O malware, porém, vai além disto. Ele consegue coletar informações como nome de usuário, nome do computador, lista de produtos de segurança instalados, credenciais armazenadas no navegador Google Chrome e dados armazenados no Microsoft Outlook. Além disso, também identifica se aplicativos como Warsaw Dieblod, da GAS Tecnologia está instalado, visto que este software específico visa proteger o acesso ao home banking.

Este grupo em particular era bem efetivo em suas ações, devido às constantes atualizações que lançavam, juntamente com ações inovadoras se tratando de um trojan bancário latino-americano, como a modulação do malware em formulários Delphi separados juntamente à criação de DLLs apartados.

Como é feita a distribuição

O envio via e-mail parece ser o único método de distribuição do malware Grandoreiro. Nestes e-mails, existe um link que redireciona os usuários para um site que oferece autalizações falsas do Flash ou Java.

Durante a pandemia da Covid-19, os e-mails foram adaptados para redirecionar os usuários para sites com informações como “vídeo acelerado da construção de um hospital na China que ocorreu em 7 dias”.

Em ambos os casos, o download, na verdade, se trata de um código malicioso que fará o download do Grandoreiro e o colocará em execução. 

Para driblar a detecção do malware, o grupo infla o tamanho do arquivo para ficar sempre com mais de 300 MB, além de ser um arquivo criptografado, evitando assim que os mecanismos de defesa de rede não consigam detectar que trata-se de um arquivo malicioso.

Como se previnir deste tipo de ameaça

Quando tratamos de segurança, não existe uma solução única que resolverá todos os problemas. O que existe é uma estratégia que envolve diferentes soluções que, juntas, reduzem significativamente o risco de ser infectado.

Para esta ameaça específica, podemos abordar duas soluções que atuam em pontos diferentes, porém serão complementares:

  1. Proteção do dispositivo: como sempre dizemos, esta é a última linha de defesa. Em última instância, este malware será baixado no dispositivo do usuário e realizará as ações maliciosas neste momento. Uma solução de proteção de dispositivo como o Kaspersky Endpoint Security for Business será primordial para impedir que este malware realize as ações maliciosas que está programado para executar; e
  2. Treinamento de segurança para usuários: embora a proteção para o dispositivo seja eficaz, um usuário sem o mínimo de conhecimento em segurança poderá ser o vetor que causará a falha e permitirá a infecção.
 
Destacamos que não inserimos nenhuma solução de proteção de rede como firewall ou proteção de e-mail, pois o tamanho do arquivo e o fato de estar criptografado os tornariam indetectáveis nestas camadas. Logo, sobra apenas a conscientização dos usuários e a proteção de dispositivo, pois é nesta camada que este malware atuará.

AV-TEST: Kaspersky oferece 100% de proteção contra ransomware ​

AV-TEST: Kaspersky oferece 100% de proteção contra ransomware ​ AV-TEST, uma organização independente alemã, selecionou 11 fabricantes de soluções de segurança para dispositivos para submeter os produtos a um rigoroso teste de ransomware. O teste revelou que a solução da Kaspersky foi a única que conseguiu fornecer 100% de proteção contra ransomware. Como foi feito o teste A AV-TEST realizou um teste de proteção contração ransomware usando soluções de proteção de dispositivos oferecidos por 11 fabricantes diferentes, sendo a Kaspersky uma delas. No total, 113 diferentes ataques foram realizados. Foram construídos 3 diferentes cenários para a realização dos testes: Ransomwares publicamente conhecidos atacam arquivos do usuário no sistema local; Ransomwares publicamente conhecidos atacam arquivos do usuário em uma diretório compartilhado; e Ransomwares desconhecidos atacam arquivos dos usuários no sistema local.   Cada ambiente foi projeto para testar diferentes aspectos da solução de proteção: No primeiro, o foco era ameaças já conhecidas pelos fabricantes e com ataques locais no próprio dispositivo atacado; No segundo, testou-se ameaças já conhecidas pelos fabricantes, porém agora com ataques remotos, ou seja, criptografia via rede; e No terceiro, o objetivo era verificar se as soluções estavam prontas para lidar com ameaças ainda desconhecidas.   A pontuação seguiu a seguinte lógica: Cada solução consegui um ponto se todos os arquivos do usuário continuassem inalterados e todos os rastros do ransomware também fossem eliminados. Para tais casos, o resultado seria “Ataque de malware completamente bloqueado”; Nos casos onde alguns, mas não todos os arquivos do usuário estivessem inalterados, o resultado seria “Ataque malware parcialmente bloqueado”, mas nenhum ponto será contabilizado; e Em todos os outros casos, nenhum ponto será contabilizado. Os resultados Cenário 1. Ransomwares publicamente conhecidos atacam arquivos do usuário no sistema local: Com exceção da solução da Webroot, todos os fornecedores protegeram totalmente o usuário. Cenário 2. Ransomwares publicamente conhecidos atacam arquivos do usuário em uma diretório compartilhado: Este cenário revelou um resultado surpreendente, pois somente a Kaspersky conseguiu proteger totalmente o usuário. A Symantec, segunda melhor, protegeu apenas 50% dos dados. Já a Sophos, protegeu completamente 7% dos dados e o restante apenas parcialmente. Cenário 3. Ransomwares desconhecidos, desenvolvidos internamente pela AV-TEST, atacam arquivos dos usuários no sistema local: Este cenário também revelou que apenas a Kaspersky conseguiu proteger os dados do usuário, mesmo que a ameaça ainda seja desconhecida.   Resultado geral: Levando em consideração o resultado de todos os testes, ficou evidenciado que a solução com a melhor proteção contra ataques ransomwares, sejam locais ou remotos, conhecidos ou desconhecidos, é da Kaspersky. Os detalhes do teste estão todos publicamente disponíveis neste link. Importância de testes independentes As empresas não podem depender da palavra de um fabricante para medir o quão eficiente e eficazes suas soluções são. É necessário que organizações independentes realizem testes para fornecer métricas importantes às empresas que irão adquirir a solução. A AV-TEST é uma referência mundial em testes independentes voltados ao segmento de cibersegurança e, por isso, é uma fonte confiável para fornecer dados que apoiem as empresas na hora de escolher o fornecedor ideal para as suas necessidades. Nós podemos te ajudar a se proteger A NTrust é parceiro oficial da Kaspersky e fornece a solução Kaspersky Endpoint Security como um serviço gerenciado, onde sua equipe não precisará se preocupar com a gestão da solução. Nós fornecemos sustentação completa à solução, onde nossos especialistas proverão monitoração e suporte à sua equipe, garantindo que consigam extrair o máximo que a solução da Kaspersky pode entregar. Para mais informações, preencha o formulário de contato que retornaremos rapidamente: formulário de contato. 1 Comentário Como se proteger de ataques de ransomware​ – NTRUSTMarch 8, 2024 at 8:59 pm | Edit […] Proteção do dispositivo: como sempre dizemos, esta é a última linha de defesa. O ransomware visa criptografar dados. Se o local onde os dados estão está sendo protegido, é improvável que o ransomware tenha sucesso em sua operação. Os ransomwares atuais são complexos, então garanta que a solução escolhida seja eficaz contra este tipo de malware. A solução de proteção Kaspersky Endpoint Security for Business possui os melhores resultados do mercado contra este tipo de ameaça. Veja o nosso artigo demonstrando a diferença da solução da Kaspersky para as demais que foram testadas pela AV-TEST neste artigo; […] Reply Deixe um comentário Cancel reply Logged in as Lucas Ribeiro. Edit your profile. Log out? Required fields are marked * Message*

Leia Mais
March 8, 2024 1 Comment

Como se proteger de ataques de ransomware​

Como se proteger de ataques de ransomware Os ataques de ransomware que vêm acontecendo assustam as empresas, visto o potencial de dano que possuem. Em tempos onde estes ataques se tornam cada vez mais recorrentes, é importante entender o que são e, principalmente, como se proteger. O que é o ransomware Ransomware é um tipo de malware que sequestra os dados da vítima e pede um valor como resgate, geralmente, em uma moeda virtual chamada Bitcoin. O ransomware é um tipo de malware que realiza o sequestro dos dados da vítima os criptografando. Esta ação torna os dados inúteis a menos que se tenha a chave de criptografia. Os atacantes pedem que a vítima transfira um valor para eles usando Bitcoin e, em troca, eles prometem enviar a chave de criptografia para que os dados sejam descriptografados. Por que estes ataques são tão efetivos Há anos os ransomwares vêm evoluindo, juntamente ao cenário de crimes cibernéticos. A evolução ocorreu principalmente devido a profissionalização das equipes criminosas nos últimos 5 anos. As equipes criminosas envolvidas no desenvolvimento dos ransomwares de alta complexidade passaram a ofertar os seus malwares para equipes especializadas em invasão. Em troca, eles recebem parte do que for obtido da vítima via resgate. Essa mecânica foi crucial para o aumento significativo dos ataques cibernéticos bem sucedidos por dois motivos: As equipes de desenvolvimento de malwares deixaram de tentar realizar invasões e focaram somente em melhorar o seu produto, ou seja, os ransomwares; e As equipes de invasão passaram a ter acesso às ferramentas complexas que antes não tinham, o que aumentou consideravelmente a taxa de sucesso das suas operações. O dano causado pelos ransomwares Existe um motivo claro para a maior parte das empresas temerem o ransomware: o seu potencial de dano. Empresas atingidas passam dias com a operação parada. Se houver backup e o mesmo não tiver sido atingido durante o ataque, ainda leva-se dias para colocar a operação em ordem novamente. Os números variam muito de empresa para empresa, mas uma coisa é certa: os custos são elevados proporcionalmente ao tamanho de cada empresa. Ainda há, também, o risco de ser uma ameaça persistente, ou seja, após todo o trabalho para que a operação volte à normalidade, os atacantes realizam outro ataque. Como se proteger de um ransomware Lembra-se sempre: quando tratamos de segurança, não existe uma solução única que resolverá todos os problemas. O que existe é uma estratégia que envolve diferentes soluções que, juntas, reduzem significativamente o risco de ser infectado. Existem várias famílias de ransomware e, além disso, diferentes formas de distribuição do mesmo. Por isso, as três medidas que possuem a maior chance de te proteger contra esse tipo de ataque, independentemente de qual família de ransomware seja, são: Proteção do dispositivo: como sempre dizemos, esta é a última linha de defesa. O ransomware visa criptografar dados. Se o local onde os dados estão está sendo protegido, é improvável que o ransomware tenha sucesso em sua operação. Os ransomwares atuais são complexos, então garanta que a solução escolhida seja eficaz contra este tipo de malware. A solução de proteção Kaspersky Endpoint Security for Business possui os melhores resultados do mercado contra este tipo de ameaça. Veja o nosso artigo demonstrando a diferença da solução da Kaspersky para as demais que foram testadas pela AV-TEST neste artigo; Treinamento de segurança para usuários: embora a proteção para o dispositivo seja eficaz, um usuário sem o mínimo de conhecimento em segurança poderá ser o vetor que causará a falha e permitirá a infecção; e Tenha um backup: toda empresa deve ter um backup por diversos motivos, porém neste caso em específico, seria indispensável, visto que se houver qualquer falha na defesa (alguém ter erroneamente desativado a proteção, por exemplo), o ataque será bem sucedido e, neste moment, a única medida que fará seus dados voltar ao normal será o backup.  Destacamos que o resgate nunca deve ser pago, pois não há garantias de que os criminosos honrarão a sua palavra e nem de que não voltarão a atacar depois, visto que a brecha utilizada por eles pode ainda estar na rede empresarial. Além disso, o pagamento seria um fomento às atividades ilícitas destes grupos criminosos. Deixe um comentário Cancel reply Logged in as Dandara Costa. Edit your profile. Log out? Required fields are marked * Message*

Leia Mais
March 8, 2024 1 Comment

Deixe um comentário

Your email address will not be published. Required fields are marked *

k_United_bw

Informações

Blog

Termos de Privacidade

Termos de Seviço

Sobre Nós​

Contato

Serviços

Treinamento em Cibersegurança​​

Segurança de Dispositivos

Segurança de Rede

Backup​​

Backup​​

© 2023 NTrust. Desenvolvido por Dandara Costa.