Η tecnologia Prevenção automática de exploração da Kaspersky Lab - que está integrado na maioria das soluções de segurança da empresa para terminais - detectou uma série de ataques digitais direcionados. Os ataques foram tentados por um novo malware que explorou uma vulnerabilidade de dia zero generalizada no sistema operacional Microsoft Windows 10. A intenção dos cibercriminosos era obter acesso total aos sistemas das vítimas no Oriente Médio. Esta vulnerabilidade foi corrigida pela Microsoft em 9 de outubro.
Um ataque de dia zero é uma das formas mais perigosas de ameaças cibernéticas, pois envolve a exploração de uma vulnerabilidade que ainda não foi descoberta e identificada. Se descoberta por um agente de ameaça, uma vulnerabilidade de dia zero pode ser usada para criar uma exploração que pode dar acesso a todo o sistema de computação empresa-setor do invasor. Essa forma de ataque é amplamente difundida por agentes de ataque ART avançados e também foi usada neste caso.
A exploração, que foi descoberta no software Microsoft Windows, atingiu as vítimas por meio de um backdoor do PowerShell. A exploração foi então realizada para que o remetente obtivesse os privilégios necessários para estar presente nos sistemas das vítimas. O código do malware era de alta qualidade e escrito para facilitar a operação eficiente do maior número possível de janelas diferentes.
Ataques digitais atingiram menos de uma dúzia de organizações proeminentes no Oriente Médio no verão passado. Acredita-se que a equipe por trás do ataque seja a FruityArmor - já que a porta dos fundos do PowerShell foi usada exclusivamente por esta equipe no passado. Imediatamente após a descoberta, os especialistas da Kaspersky Lab relataram imediatamente a vulnerabilidade à Microsoft.
Os produtos da Kaspersky Lab detectaram essa exploração profilaticamente usando as seguintes tecnologias:
- Via Kaspersky Lab Behavior Detection Engine e Auto Prevention Spread Tools disponíveis em todos os produtos de segurança da empresa.
- Por meio do Sandboxing avançado e do mecanismo Antimalware disponível na plataforma Kaspersky Anti Targeted Attack.
Como ele disse Anton Ivanov, Especialista em segurança da Kaspersky Lab,
“Quando se trata de vulnerabilidades de dia zero, é importante monitorar ativamente o cenário de ameaças para novas explorações. Na Kaspersky Lab, a busca contínua por ameaças inteligentes nos ajuda não apenas a encontrar novos ataques, mas também a direcionar diferentes ameaças digitais. Também pretendemos descobrir quais tecnologias maliciosas esses criminosos estão usando. "Como resultado de nossa pesquisa, temos uma ferramenta de detecção tecnológica poderosa que nos permite prevenir ataques - como aquele que se destinava a explorar esta vulnerabilidade."
Para evitar explorações de dia zero, a Kaspersky Lab recomenda as seguintes medidas técnicas:
- Evite usar software que seja vulnerável ou que tenha sido usado recentemente em ataques digitais.
- Certifique-se de que o software usado por sua empresa seja atualizado regularmente para as versões mais recentes. Produtos de segurança com recursos de avaliação de vulnerabilidade e gerenciamento de patches podem ajudar a automatizar esses processos.
- Use uma solução de segurança poderosa, como o Kaspersky Endpoint Security for Business, que é equipado com recursos de detecção baseados em comportamento para proteção eficaz contra ameaças conhecidas e desconhecidas, incluindo exposições.
