As infecções por Cerber ransomware têm infectado mais computadores corporativos do que máquinas domésticas, Relatório da Microsoft revela. 2114 infecções foram descobertas entre dezembro e janeiro, tudo em endpoints corporativos executando Windows 10 Empreendimento. Esta edição do Windows deve ser muito eficaz contra ransomware graças às suas mitigações de exploração de proteção avançada contra ameaças incorporadas.
A Microsoft está lutando contra o Cerber desde julho 2016, ou talvez até mais cedo. Foi quando os autores do Cerber mudaram o ransomware e o tornaram direcionado ao Office 365 em ataques baseados em macro. A Microsoft também diz que seu ATP reconhece as cargas úteis do Cerber e as impede de serem ativadas.
Microsoft escreveu:
Nossa pesquisa sobre as famílias predominantes de ransomware revela que as campanhas de entrega geralmente podem se estender por dias ou até semanas, o tempo todo empregando arquivos e técnicas semelhantes. Desde que as empresas possam investigar rapidamente os primeiros casos de infecção ou 'paciente zero', muitas vezes eles podem efetivamente parar epidemias de ransomware. Com a proteção avançada contra ameaças do Windows Defender (ATP do Windows Defender), as empresas podem identificar e investigar rapidamente esses casos iniciais, e, em seguida, use as informações de artefatos capturados para proteger proativamente a rede mais ampla.
O ATP será atualizado em breve no futuro Creators Update para possibilitar que as máquinas infectadas sejam isoladas da rede. Os recursos de prevenção e quarentena de execução serão adicionados. Essas alterações estão em sintonia com os esforços de mitigação mais recentes que a Microsoft implementou no Windows 10. Os recursos estavam presentes anteriormente no Kit de ferramentas de mitigação aprimorada prestes a ser encerrado.
As campanhas de Cerber ocorreram de duas maneiras principais: através de e-mails contendo anexos maliciosos e o uso do kit de exploração RIG.
Uma das versões mais recentes do RIG foi relatada como causadora de infecções via software da Microsoft em agosto passado. Uma dessas explorações foi relatada por Eduard Kovacs em Secrutiyweek.com como sendo o CVE-2016-0189. Este tipo de vulnerabilidade permitia um tipo de ataque de execução remota que tirava vantagem da execução de JavaScripts, bem como VBScripts.
Dê uma olhada na explicação detalhada da Microsoft de um ataque corporativo Cerber.
relacionado: Decifrar arquivos criptografados por ransomware Cerber
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: