.
Parece haver um aumento no interesse entre os cibercriminosos em infostealers – malware projetado para roubar senhas de contas on-line, informações financeiras e outros dados confidenciais de PCs infectados – como uma maneira relativamente barata e fácil de obter uma posição segura nos ambientes de TI das organizações para implantação. ransomware devastador.
Os malfeitores têm muitas maneiras de obter acesso aos sistemas internos de uma empresa. Por exemplo, eles podem entrar com força bruta, fazendo login em contas com senhas fracas, padrão ou facilmente adivinhadas. Eles podem comprar sua entrada usando os chamados corretores de acesso inicial, que realizam a infiltração real. Eles podem usar o preenchimento de credenciais, no qual obtêm combinações de nome de usuário e senha para um serviço online e verificam se essas credenciais os permitem entrar em outro serviço, já que muitas pessoas reutilizam a mesma senha em todos os lugares. Eles poderiam desenvolver ou obter explorações para vulnerabilidades no patrimônio de TI de uma organização e usá-las para obter acesso remoto.
Esses métodos podem ser complicados, caros, complicados ou um beco sem saída. Uma forma alternativa e relativamente simples seria enganar, digamos, um funcionário para que execute um infostealer em seu PC de trabalho ou doméstico e usar credenciais coletadas desse spyware para obter acesso adicional a uma rede de TI. Os infostealers tendem a ser usados para obter acesso às contas bancárias online das vítimas, contas de desktop remoto, carteiras de criptomoedas, caixas de entrada de e-mail e assim por diante.
Acontece, e logicamente faz todo o sentido, que esses softwares desagradáveis são bons para obter detalhes de login para entrar em ambientes corporativos valiosos.
E se as equipes de ransomware não quiserem implantar eles próprios os infostealers, eles têm a opção de pagar por cópias de credenciais coletadas de inúmeros PCs infectados e explorá-las para entrar em redes onde podem executar seu extortionware, que pode exfiltrar documentos, criptografar dados, exigir um resgate para acabar com a dor e assim por diante.
Estaríamos até dispostos a investir dinheiro em equipes de ransomware que fazem uso de infostealers, de uma forma ou de outra, já há algum tempo, e só agora os analistas de segurança cibernética estão destacando a abordagem crescente. De qualquer forma, é algo que as equipes de segurança devem ter em mente ao gerenciar controles de acesso, confiança do usuário, detecção de ameaças e tudo mais.
Quem está nisso?
Fomos informados de que a notória gangue de ransomware LockBit, antes de ser pelo menos um pouco perturbada por um esforço internacional de aplicação da lei, queria compre o código fonte ao Raccoon Stealer para usar para seus próprios fins. Ex-desenvolvedores de ransomware Trickbot/Conti foram vistos colaborando com FIN7, outra gangue de crimes cibernéticos com motivação financeira, em um novo malware que, entre outras coisas, entrega o infostealer Project Nemesis.
Até mesmo o prolífico grupo de trocadores de SIM que se tornaram extorsionistas, Scattered Spider, é conhecido por obter acesso inicial aos ambientes das organizações vítimas por meio de ladrões de informações como o RedLine, de acordo com Kimberly Goody, chefe de análise de crimes cibernéticos da Mandiant.
“O custo de [infostealers]ou o custo de [login credentials] obtido usando essa ferramenta, é tão insignificante em comparação com a quantidade de dinheiro que esses agentes de ameaças estão ganhando e o efeito financeiro que estão causando nas organizações de vítimas”, disse ela O registro.
Uma assinatura mensal do ladrão RedLine, a partir de fevereiro, custava US$ 100, de acordo com pelo menos um anúncio. Ou os criminosos podem comprar a “versão pró” por US$ 600, embora o anúncio localizado pela equipe da Mandiant não tenha especificado quais recursos ou serviços extras a versão pró inclui.
Esses anúncios destacam o tipo de credenciais que o malware pode roubar, e as principais categorias de aplicativos referenciadas são navegadores e aplicativos relacionados a criptomoedas. “Vemos atores fazendo referência à capacidade de roubar credenciais de VPN, e isso seria algo que poderia ajudar a permitir invasões de ransomware”, disse Goody.
Se eu aproveitar um infostealer, meu ransomware terá mais sucesso e o resultado final será mais retorno pelo meu investimento
O Mandiant do Google registrou um aumento de 60 por cento em anúncios de infostealer em mercados criminosos entre 2021 e 2022, juntamente com um mercado próspero para arquivos de log de credenciais roubadas coletadas por malware ladrão. A análise da equipe detectou um aumento de 2.000% nessas toras anunciadas em um desses souks ilícitos, o Mercado Russo, em 2022, em comparação com o ano anterior. O volume de toras postadas durante o mercado russo de 2023 “permaneceu bastante consistente”, disse Goody.
“Este aumento de anúncios nestes fóruns clandestinos, combinado com o aumento de registos que vemos nas lojas, sugere-nos que a popularidade dos infostealers e o interesse dos agentes de ameaças em utilizá-los aumentaram desde o início de 2022. “
Embora as gangues de ransomware e outras organizações criminosas estejam prestando atenção, de acordo com pesquisadores de segurança, as empresas ainda não estão dando aos ladrões de informações a atenção que deveriam.
“Eles não estão necessariamente associando os infostealers a impactos devastadores em suas organizações”, disse Goody.
“Historicamente, esse tipo de atividade tem sido algo que as organizações desvalorizaram em relação a outras atividades ou alertas que viram em seus ambientes”, continuou ela. “Mas observando o fato de que os agentes de ransomware estão usando esta ferramenta, esta é uma ameaça que as organizações devem levar a sério”.
Os ladrões também visam credenciais de contas de IA
De acordo com dados divulgados hoje, a equipe de inteligência de ameaças da Kasperky descobriu que infostealers roubaram mais de 36 milhões de credenciais entre 2021 e 2023. A OpenAI, em particular, experimentou um aumento no número de credenciais de usuários sendo roubadas dos PCs dos usuários por causa de infostealers durante esse período.
Cerca de 688.000 credenciais para os serviços do superlaboratório, incluindo ChatGPT, foram obtidas entre 2021 e 2023 e vendidas em mercados da dark web, de acordo com a casa russa de infosec. Quase todos estes (663.719) apareceram à venda em souks sombrios só no ano passado, representando um aumento de mais de 3.161 por cento em comparação com 2022.
“Os comprometimentos de credenciais em questão decorrem da atividade de infostealer”, observou Yuliya Novikova, chefe da Kaspersky Digital Footprint Intelligence.
Arquivos de log, cada um contendo um pacote de detalhes de contas on-line comprometidas, geralmente são vendidos por menos de US$ 1 por unidade, disse Novikova. O registro.
“Na verdade, é possível encontrar arquivos de log com preços tão baixos quanto 10 centavos”, acrescentou Novikova. “Como malware, os infostealers são eles próprios uma mercadoria. De 2015 a 2022, esse malware específico representou 24% de todas as famílias de malware que foram distribuídas como um serviço na dark web.”
O preço dessas assinaturas como serviço varia de cerca de US$ 100 a US$ 300 por mês, acrescentou ela.
Grande aumento na atividade de infostealer
Da mesma forma, um relatório IBM X-Force publicado no início deste mês rastreou um aumento de 266 por cento na atividade relacionada ao infostealer em 2023 em comparação com 2022. Isso provavelmente contribuiu para o aumento de criminosos invadindo ambientes digitais usando credenciais de contas válidas roubadas, abrindo a porta da frente. o principal vetor de acesso inicial observado no ano passado.
Além disso, novos infostealers como Rhadamanthys, LummaC2 e StrelaStealer estrearam e foram usados ativamente em 2023, de acordo com os caçadores de ameaças.
“Os operadores de malware tendem a inovar mais em algumas áreas do que em outras. No ano passado, foi o malware infostealer”, disse Michelle Alvarez, gerente da equipe de análise estratégica de ameaças da IBM X-Force. O registro.
Os criminosos estão “procurando ver onde têm mais [return on investment]”, acrescentou Alvarez. “Se eu aproveitar um infostealer, meu ransomware terá mais sucesso e o resultado final é que obterei mais retorno pelo meu investimento.”
A X-Force também notou uma tendência de grupos de ransomware se voltando para infostealers no ano passado, e diz que isso sugere que credenciais roubadas se tornaram o método preferido para obter acesso inicial.
De acordo com o Índice de Inteligência de Ameaças de 2024 da loja de segurança: “À medida que os agentes de ameaças investem em ladrões de informações para aumentar seu repositório de credenciais, as empresas são empurradas para um novo cenário de defesa onde a identidade não pode mais ser garantida”. ®
.
