Trei amenintari rau intentionate capabile sa fure date si fonduri au fost identificate si analizate in profunzime in cel mai recent raport Kaspersky privind criminalitatea cibernetica. Programul GoPIX de tip „stealer” care vizeaza sistemul de plata PIX, programul multifunctional Lumar si ransomware-ul Rhysida. Pe masura ce amenintarile cibernetice motivate financiar continua sa creasca, expertii indeamna utilizatorii sa ramana vigilenti.
GoPIX, o campanie rau intentionata operationala din decembrie 2022, se concentreaza pe sistemul de plata PIX utilizat pe scara larga in Brazilia. Strategia sa incepe atunci cand utilizatorii cauta „WhatsApp web” si sunt redirectionati prin reclame inselatoare. Folosind instrumentul antifrauda al IP Quality Score pentru a distinge utilizatorii reali de roboti, GoPIX prezinta doua optiuni de descarcare bazate pe starea portului 27275, legate de software-ul Avast Safe Banking. Programul malware, conceput pentru a fura si manipula datele tranzactiilor, ofera flexibilitatea de a executa diferite etape si de a raspunde la comenzile unui server de comanda si control (C2).
Lumar, un „stealer” multifunctional de data recenta, introdus in iulie 2023 de un utilizator numit „Collector”, prezinta capabilitati impresionante, inclusiv capturarea sesiunilor Telegram, colectarea parolelor, cookies, a datelor de completare automata, preluarea fisierelor de pe desktop-urile utilizatorilor si extragerea datelor din diferite portofele criptografice. Dimensiunea compacta a lui Lumar, atribuita codarii C, nu compromite functionalitatea acestuia. Odata executat, Lumar aduna informatii despre sistem si datele utilizatorului, trimitandu-le catre C2. Colectarea eficienta a datelor, realizata de acest malware, este facilitata de utilizarea a trei legaturi separate. C2, gazduit de autorul malware-ului sub forma Malware as a Service (MaaS), ofera caracteristici usor de utilizat, precum statistici si jurnale de date. Utilizatorii pot descarca cea mai recenta versiune de Lumar si pot primi notificari Telegram pentru datele primite.
Rhysida, un nou venit pe scena ransomware, a fost detectat prin datele de telemetrie Kaspersky in luna mai si functioneaza ca Ransomware-as-a-Service (RaaS). Se remarca prin mecanismul sau unic de auto-stergere si compatibilitatea cu versiunile Microsoft pre-Windows 10. Scris in C++ si compilat cu MinGW si biblioteci partajate, Rhysida prezinta un design sofisticat. Desi era relativ nou, Rhysida a depasit provocarile initiale de configurare cu serverul sau „onion”, evidentiind adaptabilitatea si traiectoria de invatare a unui grup.
Raportul complet este disponibil pe Securelist.com
Pentru a preveni amenintarile financiare, Kaspersky recomanda:
- \\\\r\\\\n
- Configurati copii de rezerva offline ale datelor personale pe care intrusii nu le pot modifica. Asigurati-va ca le puteti accesa rapid in caz de urgenta, atunci cand este necesar.
- Instalati protectie impotriva ransomware pentru intregul nivel endpoint. Kaspersky Anti-Ransomware Tool for Business protejeaza gratuit computerele si serverele de ransomware si alte tipuri de malware, previne exploatarile si este compatibil cu solutiile de securitate preinstalate.
- Folositi o solutie de protectie cu capabilitati anti-phishing pentru nivelul endpoint si serverele de e-mail, pentru a reduce sansele de infectare printr-un e-mail de phishing.
- Efectuati un audit de securitate cibernetica pentru retelele dumneavoastra si remediati orice slabiciuni descoperite in perimetrul sau in interiorul retelei.
- Ransomware-ul este o infractiune. Daca deveniti victima unor astfel de situatii, nu platiti niciodata rascumpararea. Nu va va garanta ca va veti primi datele inapoi, dar va incuraja infractorii sa-si continue activitatea. In schimb, raportati incidentul agentiei locale de aplicare a legii. Incercati sa gasiti un decriptor pe internet - veti gasi unele disponibile pe NoMoreRansom.org
