Malware QBot abre caminho para instalação de Ransomware
Durante o final do quarto trimestre de 2022, a empresa ReliaQuest detectou uma violação de segurança no sistema de um cliente. Um invasor conseguiu entrar na rede, escalou rapidamente seus privilégios e manobrou lateralmente, finalmente garantindo uma posição em apenas 77 minutos. Embora o ponto de apoio tenha sido eliminado com sucesso, o incidente destaca algumas conclusões cruciais.
Entre os quais está o uso do malware QBot para obter acesso inicial e o layout subsequente para o implantação do ransomware Black Basta. O acesso inicial foi obtido por meio de um e-mail de phishing nas caixas de entrada dos usuários finais, que acabou descartando o QBot. Os invasores executaram o malware por meio do contrabando de HTML, uma estratégia de ataque que o QBot implementou anteriormente em dezembro de 2022. Além disso, eles usaram canais HTTPs alternativos para se comunicar e manter sua posição dentro da rede.
Posteriormente, eles implantaram e configuraram os softwares de acesso remoto Splashtop, AnyDesk e Atera. Anteriormente, em novembro de 2022, Black Basta foi observado implantando o QBot para atingir organizações com sede nos EUA. O ransomware continua sendo a principal ameaça cibernética para as organizações, mesmo em 2023, embora a ameaça esteja sendo examinada por governos em todo o mundo. Para se proteger contra infecções por QBot, os pesquisadores recomendam fortalecer a segurança do perímetro, restringir o uso de software de acesso remoto e garantir backup e segurança adequados.
Fonte: BoletimSec
Publicado em: Cybersegurança