🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
CategoriaInteligência de malwareIndústrias afetadasMúltiploRegião afetadaGlobalFonte*D4TOP #GREENReference* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]
Sumário executivo
- CloudSEKa principal plataforma digital de monitoramento de risco da XV Vigília descobriu uma postagem em um fórum de crimes cibernéticos, anunciando o Slycer Ransomware as a Service (RaaS).
- O Slycer Ransomware é um malware baseado em Python que criptografa os arquivos na máquina da vítima e envia sua chave de decodificação ao atacante.
- O Slycer permite que os agentes de ameaças coletem informações altamente confidenciais sobre a empresa afetada e escalem o ataque para a próxima fase, incluindo, e não se limitando a, ataques de phishing, ataques baseados em engenharia social e roubo de identidade.
- A equipe de pesquisa de inteligência de ameaças da CloudSEK está validando a autenticidade desta postagem.
Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]
Análise e atribuição
Informações da fonte
Em 29 de agosto de 2021, um agente de ameaças publicou uma postagem em um fórum de crimes cibernéticos, anunciando a associação ao gerador Slycer Ransomware. O ator afirma que existem três planos de assinatura para usuários com base no período de tempo, a saber, único, vitalício e mensal. O ransomware Slycer, escrito em python, tem os seguintes recursos:- Ele criptografa todos os arquivos no sistema da vítima usando a técnica de criptografia simétrica Fernet, independentemente de sua extensão ou tipo de arquivo, exceto os arquivos do sistema.
- Ele usa um algoritmo personalizado desenvolvido pelo agente da ameaça para acelerar o processo de criptografia.
- Quando o ransomware é executado, ele envia um prompt do Gmail junto com o ID do cliente da vítima e a chave de decodificação para o atacante.
- Quando a execução é concluída, ele exclui todos os registros e a chave do dispositivo da vítima e, em seguida, desativa os gerenciadores de tarefas.
- O Slycer então envia notas e mensagens personalizadas para a vítima para coletar o resgate.
- Também permite que o atacante envie ícones personalizados e outros aplicativos para o dispositivo da vítima.
- Um arquivo de ransomware que pode ser baixado.
- A cotação de preço do ransomware. O preço de toda a configuração, incluindo o código-fonte, varia de USD 2400 a USD 2600.
- Um tutorial em vídeo do YouTube demonstrando o funcionamento do ransomware.
Classificação da fonte
- O ator não é popular no fórum.
- As informações compartilhadas pelo ator parecem lógicas, mas duvidosas.
- A confiabilidade do ator pode ser classificada. Geralmente não é confiável (D).
- A credibilidade do anúncio pode ser classificada como duvidosa (4).
- Dando credibilidade a uma fonte geral de D4.
Impacto e mitigação
Mitigação de impacto- O ransomware pode ser usado para extrair PII (informações de identificação pessoal) confidenciais do dispositivo da vítima. Essas informações podem ser usadas potencialmente por agentes de ameaças para realizar vários ataques, como:
- Ataques de engenharia social
- Ataques de phishing
- Roubo de identidade
- Um ataque de ransomware é capaz de prejudicar a reputação, a confiança do cliente e as finanças de uma organização.
- Atualize todos os sistemas e aplicativos com os patches mais recentes.
- Use uma política regular de atualização de senha e evite a reutilização de senhas para várias contas.
- Use a MFA (Autenticação Multifator) em todos os logins.
- Corrija todos os endpoints vulneráveis e exploráveis.
- Não baixe nenhum link que pareça suspeito ou malicioso.
