Gestão de Incidentes
Gestão de Problemas
Gestão de Alterações
Gestão de Pedidos de Serviço
Gestão do Nível de Serviço
Gestão de Conhecimento
Gestão de Ativos e de Configuração de Serviço
Self-Service
Gestão Financeira de IT
Suporte Remoto
Background System Management
Automatização de Processos de IT
Automatização da gestão de incidentes
Implementação de software
Cloud Service
Preços
Implementação e Monitorização
Alertas e Notificações
Status de Saúde do IT
Dashboards em tempo real
AIOps
Relatórios
Hypervision
Mobile App
Consulte o blog da EasyVista para se manter atualizado sobre as últimas notícias, tendências e melhores práticas em matéria de transformação digital. Deixe que a EasyVista o mantenha atualizado e na vanguarda de uma indústria em constante mudança.
Temos o compromisso de fornecer recursos que o ajudem a atender a todas as suas necessidades de software ITSM.
Mantenha-se atualizado sobre nossos mais recentes webinars e eventos ITSM, ITOM ou ESM agora
EasyVista | 06 Junho 2024
Num cenário de cibersegurança em constante evolução, os agentes de ameaças adaptam continuamente os seus métodos para explorar vulnerabilidades e atingir vítimas desprevenidas. Um desenvolvimento recente envolve um grupo de cibercriminosos identificado como Storm-1811 pela equipa de Informação sobre Ameaças da Microsoft. Este grupo com motivações financeiras tem sido observado a abusar da ferramenta Microsoft Quick Assist em ataques de engenharia social, representando riscos significativos para organizações de vários setores (The Hacker News, 2024).
O Storm-1811, conhecido por ter implementado o ransomware Black Basta, utiliza o Quick Assist—uma aplicação legítima da Microsoft concebida para facilitar o suporte técnico remoto—como vetor para os seus ataques. Estes ataques começam com phishing de voz, em que os atacantes se fazem passar por contactos de confiança, como o suporte técnico da Microsoft ou profissionais internos de IT. Através desta personificação, enganam as vítimas para que instalem ferramentas de monitorização e gestão remota (RMM), que servem de condutas para a implementação de cargas úteis mais perigosas, como o QakBot, o Cobalt Strike e, por fim, o ransomware Black Basta.
Uma vez obtido o acesso inicial através do Quick Assist, o Storm-1811 executa comandos cURL com script para descarregar ficheiros batch maliciosos ou ficheiros ZIP. Estes ficheiros permitem outras atividades maliciosas, incluindo a enumeração de domínios, o movimento lateral dentro da rede e a implementação de ransomware através de ferramentas como o PsExec.
Este método de ataque é particularmente insidioso porque explora a confiança em ferramentas legítimas e a falta de sensibilização dos utilizadores. O Quick Assist é uma aplicação incorporada nos dispositivos Windows, muitas vezes vista como um meio seguro de receber apoio técnico. No entanto, esta mesma confiança é o que a torna uma ferramenta poderosa nas mãos dos cibercriminosos. Ao convencer os utilizadores a permitir o acesso remoto, os infratores podem contornar muitas medidas de segurança, uma vez que a vítima lhes abre a porta.
Para compreender plenamente a gravidade destes ataques, é essencial aprofundar o funcionamento detalhado do Storm-1811 e as implicações mais vastas das suas tácticas.
A cadeia de ataque do Storm-1811 envolve várias fases, cada uma meticulosamente concebida para garantir o êxito da implantação do ransomware:
Contacto Inicial e Falsificação de Identidade: Os atacantes iniciam o contacto com a vítima através de phishing de voz. Fazem-se passar por figuras de confiança, como o suporte técnico da Microsoft ou profissionais de IT da organização da vítima. Esta tática de engenharia social é eficaz porque explora a confiança da vítima e a sua falta de conhecimentos técnicos.
Instalação das Ferramentas RMM: A personificação é seguida pela orientação da vítima para instalar ferramentas de monitorização e gestão remota (RMM). Estas ferramentas são legítimas e amplamente utilizadas no apoio informático, mas podem ser manipuladas para fins maliciosos. Os atacantes utilizam estas ferramentas para ganhar uma posição no sistema da vítima.
Entrega de Cargas Maliciosas: Com as ferramentas de RMM instaladas, os atacantes fornecem uma série de cargas úteis. Isto envolve o descarregamento e a execução de scripts que instalam o QakBot, um famoso trojan bancário, e o Cobalt Strike, uma ferramenta de testes de penetração reutilizada para atividades maliciosas. Estas ferramentas fornecem aos atacantes acesso persistente e a capacidade de efetuar várias operações maliciosas no sistema comprometido.
Implementação de Ransomware: A fase final envolve a implantação do ransomware Black Basta. Utilizando ferramentas como o PsExec, os atacantes espalham o ransomware pela rede da vítima, encriptando ficheiros e exigindo um resgate pela sua desencriptação.
Este ataque em várias fases realça a natureza sofisticada das ciberameaças modernas. Sublinha a importância de uma estratégia de segurança abrangente que vá para além das defesas tradicionais e aborde as causas profundas das vulnerabilidades.
Face a estas ameaças sofisticadas, as organizações devem adotar medidas proativas para proteger a sua infraestrutura de IT. O EV Reach oferece uma solução abrangente que aborda as vulnerabilidades exploradas por agentes de ameaças como o Storm-1811. Veja como o EV Reach pode reforçar as suas defesas de cibersegurança:
Para apreciar plenamente o valor do EV Reach, é importante compreender o contexto mais alargado dos ataques de ransomware e de engenharia social. O ransomware é um tipo de malware que encripta os ficheiros da vítima e exige o pagamento de um resgate para restaurar o acesso. Tornou-se uma das formas mais prevalentes e prejudiciais de cibercrime, afetando organizações de todas as dimensões e setores.
Os ataques de engenharia social, como os utilizados pelo Storm-1811, são concebidos para manipular os indivíduos para que divulguem informações confidenciais ou realizem ações que comprometam a segurança. Estes ataques exploram a psicologia humana, recorrendo a táticas como a falsificação de identidade, o engano e a urgência para induzir as vítimas a agir contra os seus interesses.
A combinação de ransomware e engenharia social cria um potencial cenário de ameaças. Os atacantes podem contornar as defesas técnicas visando o elemento humano, obtendo acesso aos sistemas através de meios aparentemente legítimos. Isto sublinha a importância de estratégias abrangentes de cibersegurança que abordem tanto os fatores tecnológicos como os humanos.
Os ataques de ransomware podem ter consequências devastadoras para as organizações. Os custos financeiros incluem pagamentos de resgate, despesas de recuperação e perda de receitas devido ao tempo de inatividade. No entanto, o impacto vai para além das perdas financeiras:
Perturbação Operacional: O ransomware pode paralisar as operações comerciais, interrompendo os serviços e causando um tempo de inatividade significativo. Isto pode ser particularmente prejudicial para setores de infraestruturas críticas, como os cuidados de saúde, os transportes e os serviços públicos.
Perda e Corrupção de Dados: Mesmo que o resgate seja pago, não há garantia de que os atacantes forneçam a chave de desencriptação ou que os dados possam ser recuperados. As organizações podem sofrer perda ou corrupção permanente de dados, afetando a sua capacidade de operar e servir os clientes.
Danos à Reputação: Os ataques de ransomware podem prejudicar a reputação de uma organização, minando a confiança dos clientes. A publicidade negativa associada a uma violação de dados ou a um tempo de inatividade prolongado pode ter efeitos a longo prazo na fidelidade à marca e nas relações com os clientes.
Sanções Regulamentares: A não proteção de dados sensíveis pode resultar em sanções regulamentares e responsabilidades legais. As organizações podem enfrentar multas e penalizações de organismos reguladores, especialmente se não cumprirem as leis de proteção de dados e privacidade.
Embora as soluções tecnológicas como o EV Reach sejam essenciais para a defesa contra as ciberameaças, a formação e a sensibilização dos funcionários são igualmente importantes. As organizações devem educar o seu pessoal sobre os perigos dos ataques de engenharia social e a importância das melhores práticas de cibersegurança. Isto inclui:
Reconhecer Tentativas de Phishing: Os empregados devem receber formação para reconhecer e-mails de phishing e chamadas telefónicas suspeitas. Isto inclui ter cuidado com pedidos não solicitados de informações sensíveis e verificar a identidade de quem telefona ou do remetente.
Proteção do Acesso Remoto: Os empregados devem compreender os riscos associados às ferramentas de acesso remoto e seguir as melhores práticas para proteger as ligações remotas. Isto inclui a utilização de palavras-passe fortes e únicas, a ativação da autenticação multifator e a cautela na concessão de acesso remoto.
Denúncia de Atividades Suspeitas: As organizações devem estabelecer protocolos claros para a comunicação de atividades suspeitas. Os funcionários devem sentir-se capacitados para comunicar potenciais incidentes de segurança sem receio de represálias. A comunicação imediata pode ajudar as equipas de IT a responder rapidamente para mitigar as ameaças.
Formação Periódica e Simulações: A formação contínua e os exercícios de simulação de phishing podem ajudar a reforçar a sensibilização para a cibersegurança. Ao testar regularmente a capacidade dos funcionários para reconhecer e responder a ameaças, as organizações podem identificar áreas de melhoria e reforçar a sua postura geral de segurança.
Os recentes ataques do Storm-1811 sublinham a importância de medidas robustas de cibersegurança. Ao explorar ferramentas legítimas como o Quick Assist, os cibercriminosos podem contornar as proteções tradicionais e causar estragos nos sistemas de IT. No entanto, com soluções como o EV Reach, as organizações podem antecipar-se a estas ameaças através de uma monitorização proativa, acesso remoto seguro e gestão abrangente dos terminais. Investir em tais tecnologias não só atenua os riscos atuais, como também prepara as organizações para os futuros desafios no cenário de ameaças cibernéticas em constante evolução.
Ao adotar o EV Reach, as organizações podem melhorar a sua postura de cibersegurança, garantindo que estão bem equipadas para prevenir, detetar e responder a ameaças, salvaguardando assim as suas operações e mantendo a continuidade do negócio. A integração do controlo avançado de acesso remoto, a monitorização em tempo real, a automatização de processos e o suporte de IT abrangente fazem do EV Reach um ativo valioso na luta contra a cibercriminalidade.
Em conclusão, a chave para uma cibersegurança eficaz reside numa combinação de soluções tecnológicas avançadas e na formação e sensibilização contínuas dos empregados. Ao abordar os elementos técnicos e humanos da segurança, as organizações podem construir uma defesa robusta contra as táticas sofisticadas utilizadas pelos cibercriminosos atuais. À medida que o cenário de ameaças vai evoluindo, as medidas de segurança proativas e abrangentes serão essenciais para proteger os dados sensíveis, manter a integridade operacional e garantir o sucesso a longo prazo da organização.
Referência: The Hacker News, 2024
EasyVista is a global software provider of intelligent solutions for enterprise service management, remote support, and self-healing technologies. Leveraging the power of ITSM, Self-Help, AI, background systems management, and IT process automation, EasyVista makes it easy for companies to embrace a customer-focused, proactive, and predictive approach to their service and support delivery. Today, EasyVista helps over 3,000+ enterprises around the world to accelerate digital transformation, empowering leaders to improve employee productivity, reduce operating costs, and increase employee and customer satisfaction across financial services, healthcare, education, manufacturing, and other industries.