Sun. Sep 25th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    pt flag
    ru flag
    es flag

    Nota do editor: O recente ataque de ransomware contra serviços jurídicos e provedor de eDiscovery Epiq acelerou a conscientização sobre segurança cibernética na comunidade profissional de descoberta de dados e descoberta legal. O ataque de ransomware reconhecido parece ter sido iniciado com uma infecção TrickBot que permitiu a implantação do ransomware Ryuk. As extrações a seguir compartilham informações e informações que podem ser úteis para escritórios de advocacia, corporações e provedores de serviços no ecossistema de eDiscovery que buscam saber mais sobre ransomware, a família de ransomware Ryuk e reduzir o risco associado a ataques de ransomware.

    Um extrato da Publicação Interinstitucional do Governo dos EUA sobre Ransomware

    Ransomware: O que é e o que fazer sobre isso

    O que é Ransomware?

    Ransomware é um tipo de software mal-intencionado que atores cibernéticos usam para negar acesso a sistemas ou dados. O ator cibernético malicioso mantém sistemas ou dados reféns até que o resgate seja pago. Após a infecção inicial, o ransomware tenta se espalhar para drives de armazenamento compartilhados e outros sistemas acessíveis. Se as demandas não forem atendidas, o sistema ou os dados criptografados permanecerão indisponíveis ou os dados podem ser excluídos.

    Como protejo minhas redes?

    Um compromisso com a ciberhigiene e as melhores práticas é fundamental para proteger suas redes. Aqui estão algumas perguntas que você pode querer fazer sobre sua organização para ajudar a evitar ataques de ransomware:

    Backups: fazemos backup de todas as informações críticas? Os backups são armazenados off-line? Testamos nossa capacidade de reverter para backups durante um incidente?

    Análise de Risco: Nós realizamos uma análise de risco de segurança cibernética da organização?

    Treinamento de Pessoal: Treinamos o pessoal sobre as melhores práticas de segurança cibernética?

    Patches de vulnerabilidade: implementamos patches apropriados de vulnerabilidades conhecidas do sistema?

    Lista branca de aplicativos: permitimos que apenas programas aprovados sejam executados em nossas redes?

    Resposta a Incidentes: Temos um plano de resposta a incidentes e o exercitamos?

    Continuidade de negócios: somos capazes de sustentar as operações de negócios sem acesso a determinados sistemas? Por quanto tempo? Já testamos isso?

    Teste de penetração: Tentamos invadir nossos próprios sistemas para testar a segurança de nossos sistemas e nossa capacidade de nos defender contra ataques?

    Como Respondo ao Ransomeware?

    Implemente seu plano de resposta a incidentes de segurança e continuidade de negócios. Pode levar tempo para que os profissionais de TI da sua organização isolem e removam a ameaça de ransomware aos seus sistemas e restaure dados e operações normais. Enquanto isso, você deve tomar medidas para manter as funções essenciais de sua organização de acordo com seu plano de continuidade de negócios. As organizações devem manter e testar regularmente planos de backup, planos de recuperação de desastres e procedimentos de continuidade de negócios.

    Contacte a polícia imediatamente. Recomendamos que você entre em contato com um escritório local do FBI ou da USSS imediatamente para relatar um evento de ransomware e solicitar assistência. Há sérios riscos a considerar antes de pagar o resgate. Não encorajamos pagar um resgate. Entendemos que quando as empresas enfrentam uma incapacidade de funcionar, os executivos avaliarão todas as opções para proteger seus acionistas, funcionários e clientes. Ao contemplar essa escolha, considere os seguintes riscos:

    O pagamento de um resgate não garante que uma organização recupere o acesso aos seus dados; na verdade, alguns indivíduos ou organizações nunca receberam chaves de descriptografia depois de ter pago um resgate.

    Algumas vítimas que pagaram a demanda relataram ter sido alvo novamente por atores cibernéticos.

    Depois de pagar o resgate originalmente exigido, algumas vítimas foram solicitadas a pagar mais para obter a chave de descriptografia prometida.

    Pagar poderia inadvertidamente encorajar este modelo de negócio criminoso.

    Leia o documento completo no Ransomware: O que é e o que fazer sobre isso (PDF)

    Um extrato de um artigo de Gabriela Nicolao e Luciano Martins

    Documento do Boletim de Vírus 2019: A Vingança de Shinigami: A Cauda Longa do Malware Ryuk

    Abstrato

    Ryuk é uma família de ransomware que, ao contrário do ransomware regular, está ligada a campanhas direcionadas onde a extorsão pode ocorrer dias ou semanas após uma infecção inicial. Ryuk foi observado pela primeira vez em agosto de 2018 e permanece ativo a partir de julho de 2019.

    Entre suas vítimas, encontramos empresas de diferentes indústrias, incluindo jornais, restaurantes, instituições públicas e um provedor de serviços em nuvem. Ryuk tem sido observado como uma carga de segunda etapa entregue em campanhas que envolveram Emoet e Trickbot, duas das ameaças mais difundidas que estão sendo usadas atualmente em campanhas de malware.

    Ryuk tem uma forte semelhança de código com o ransomware Hermes e provavelmente foi desenvolvido e possivelmente distribuído pelo (s) mesmo (s) ator (es) de ameaça. As semelhanças de código encontradas entre Ryuk e Hermes — uma carga que supostamente estava ligada a atores norte-coreanos — levaram os analistas inicialmente a suspeitar que Ryuk estava afiliado ao infame grupo Lazarus APT (Advance Persistent Threat). No entanto, essa atribuição foi descartada com base em evidências coletadas de um fórum Dark Web e o malware foi mais tarde atribuído a atores de língua russa possivelmente conhecidos como Grim Spider.

    Cronologia Ryuk

    Ryuk é um crypto-ransomware que foi mencionado pela primeira vez em um Tweet em 17 de agosto de 2018. Ele usou 'RyukReadme.txt' como uma nota de resgate, daí o name.Ryuk é também o nome de um personagem fictício conhecido como Shinigami (Deus da Morte) em uma série de mangá e anime chamada Death Note.

    No momento em que Ryuk foi relatado pela primeira vez, ele já tinha atingido três empresas em diferentes países, e pesquisadores apontaram que Ryuk foi baseado no infame código fonte do ransomware Hermes e que ele usou o mesmo formato de nota de resgate que BitPaymer.

    O ransomware Hermes foi usado por Lazarus, um grupo de atores de ameaça patrocinado pela Coreia do Norte, ativo desde 2009. Devido à atribuição de Hermes a Lázaro, os pesquisadores acreditavam que Ryuk também estava relacionado a Lázaro.

    Leia o artigo completo no Shinigami Revenge: The Long Tail of the Ryuk Malware

    Um extrato de um artigo de Shyam Oza via Spanning

    Ransomware Ryuk

    No outono de 2018, uma versão modificada do ransomware Hermes foi descoberta: Ryuk. Tanto Hermes quanto Ryuk têm características semelhantes. Eles identificam e criptografam dispositivos de rede juntamente com a exclusão de cópias de sombra armazenadas nos pontos finais. A única diferença é como eles criam as chaves de criptografia. Enquanto a Hermes usa um RSA e um par de chaves privadas, o Ryuk usa uma segunda chave pública RSA.

    O ransomware Ryuk é mais lucrativo do que seu antecessor. Ele tem como alvo grandes organizações e agências governamentais que acabam pagando grandes quantias. A verdade é que, sem os grandes subornos, processar ataques Ryuk não é sustentável. Envolve um alto grau de processos manuais (exploração direta, solicitações de pagamento tratadas via e-mail, etc.) e os atacantes não querem perder tempo se o ROI não for bom.

    Como o Ryuk funciona?

    Ryuk ransomware não é o começo, mas o fim de um ciclo de infecção. É o ransomware que entra em forma, passo a passo, e quando atinge, é letal.

    Leia o artigo completo no Ryuk Ransomware

    Um extrato de um artigo de Lawrence Abrams

    Ryuk Ransomware atacou a Epiq Global através da infecção por TrickBot

    O ataque da Epiq Global começou com uma infecção por TrickBot

    Hoje, uma fonte no setor de segurança cibernética compartilhou informações exclusivamente com BleepingComputer que esclarece como a Epiq Global se infectou.

    Em dezembro de 2019, um computador na rede da Epiq foi infectado com o malware TrickBot.

    O TrickBot é mais comumente instalado pelo Trojan Emoet, que é espalhado por e-mails de phishing.

    Uma vez instalado o TrickBot, ele coletará vários dados, incluindo senhas, arquivos e cookies, de um computador comprometido e tentará se espalhar lateralmente por toda a rede para coletar mais dados.

    Quando terminar a coleta de dados em uma rede, o TrickBot abrirá um shell reverso para os operadores Ryuk.

    Os atores Ryuk terão acesso ao computador infectado e começarão a realizar o reconhecimento da rede. Depois de obter credenciais de administrador, eles implantarão o ransomware nos dispositivos da rede usando o PowerShell Empire ou PSExec.

    No caso da Epiq Global, Ryuk foi implantado em sua rede na manhã de sábado, 29 de fevereiro de 2020, quando o ransomware começou a criptografar arquivos em computadores infectados.

    Enquanto Ryuk é considerado um ransomware seguro sem quaisquer fraquezas em sua criptografia, Brett Callow da Emsisoft disse à BleepingComputer que pode haver uma pequena chance de que eles possam ajudar a recuperar arquivos criptografados pelo ransomware Ryuk.

    “As empresas afetadas pela Ryuk devem entrar em contato conosco. Há uma pequena - muito pequena - chance de que possamos ajudá-los a recuperar seus dados sem precisar pagar o resgate”, disse Callow à BleepingComputer.com.

    Embora as chances sejam muito pequenas, se seus dispositivos são criptografados pelo Ryuk Ransomware não faz mal verificar com Emsisoft.

    BleepingComputer contactou a Epiq com mais perguntas sobre este ataque, mas não teve resposta neste momento.

    Leia o artigo completo em Ryuk Ransomware Atacado Epiq Global via infecção TrickBot

    Leitura adicional

    Um ataque de ransomware da Epiq atinge líder de serviços jurídicos

    A interseção de Direito Internacional e Operações Cibernéticas: um kit de ferramentas interativo de lei cibernética

    Fonte: ComplexDiscovery

    Inclinando-se para frente? O Plano Estratégico CISA 2023-2025

    The purpose of the CISA Strategic Plan is to communicate the...

    Melhoria contínua do risco? Resumo cibernético do terceiro trimestre da Cowbell Cyber

    According to Manu Singh, director of risk engineering at Cowbell, "Every...

    Um recurso abrangente de descoberta cibernética? O gráfico de políticas de segurança cibernética do DoD do CSIAC

    The Cyber Security and Information Systems Information Analysis Center (CSIAC) is...

    Seguro cibernético em rápida rotação? Resumo cibernético do segundo trimestre da Cowbell Cyber

    According to Isabelle Dumont, SVP of Marketing and Technology Partners at...

    Resposta reveladora? Nuix responde à solicitação de informações da ASX

    The following investor news update from Nuix shares a written response...

    Relatórios reveladores? Nuix Notes Especulação da imprensa

    According to a September 9, 2022 market release from Nuix, the...

    HayStackID® adquire a Business Intelligence Associates

    According to HaystackID CEO Hal Brooks, “BIA is a leader in...

    Um grande negócio de software e nuvem? OpenText para adquirir a Micro Focus

    According to OpenText CEO & CTO Mark J. Barrenechea, “We are...

    Em movimento? Cinética de mercado de eDiscovery 2022: cinco áreas de interesse

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Confiando no processo? Dados de tarefas, gastos e custos de processamento de eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    O ano em análise? 2021 eDiscovery Analise pontos de dados de tarefas, gastos e custos

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Uma análise de 2021 da coleção de eDiscovery: pontos de dados de tarefas, gastos e custos

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Cinco ótimas leituras sobre descobertas cibernéticas, de dados e legais para setembro de 2022

    From privacy legislation and special masters to acquisitions and investigations, the...

    Cinco ótimas leituras sobre descoberta cibernética, de dados e jurídica para agosto de 2022

    From AI and Big Data challenges to intriguing financial and investment...

    Cinco ótimas leituras sobre descoberta cibernética, de dados e jurídica para julho de 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Cinco ótimas leituras sobre descoberta cibernética, de dados e legal para junho de 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Temperaturas mais baixas? Resultados da pesquisa de confiança empresarial eDiscovery do outono de 2022

    Since January 2016, 2,874 individual responses to twenty-eight quarterly eDiscovery Business...

    Inflexão ou deflexão? Uma visão geral agregada de oito pesquisas semestrais de preços de eDiscovery

    Initiated in the winter of 2019 and conducted eight times with...

    Mudando as correntes? Dezoito observações sobre a confiança dos negócios de eDiscovery no verão de 2022

    In the summer of 2022, 54.8% of survey respondents felt that...

    Variantes desafiadoras? Problemas que afetam o desempenho comercial de eDiscovery: uma visão geral do verão de 2022

    In the summer of 2022, 28.8% of respondents viewed increasing types...