Notícias de dispositivos móveis, gadgets, aplicativos Android

Usos do grupo de hackers DEV-0270 Windows Recurso BitLocker para criptografar sistemas

O DEV-0270 (também conhecido como Nemesis Kitten), um grupo de hackers patrocinado pelo Estado iraniano, foi descoberto abusando de um Windows recurso conhecido como BitLocker.

Enquanto Nemesis Kitten é um dos subgrupos do grupo de atores de ameaças iranianos conhecido como PHOSPHORUS.

A equipe de inteligência de ameaças da Microsoft afirma que assim que novas vulnerabilidades de segurança são divulgadas, o grupo tira vantagem delas o mais rápido possível. Os ataques feitos por este grupo utilizam binários de vida fora da terra (LOLBINs) em toda a extensão possível.

Com o BitLocker, você pode proteger seus dados fornecendo criptografia de volume total em dispositivos que executam os seguintes sistemas operacionais:-

  • Windows 10
  • Windows 11
  • Windows Servidor 2016 e superior

Análise técnica

Os comandos Setup.bat s√£o usados ‚Äč‚Äčpelos operadores do DEV-0270 como parte de seu m√©todo de ativa√ß√£o do recurso de criptografia BitLocker.

Devido a isso, os hosts ficam inoperantes e incapazes de funcionar. Atualmente, para as esta√ß√Ķes de trabalho, existe um programa de criptografia de disco chamado DiskCryptor que √© utilizado pelo grupo.

No caso do DEV-0270, foi observado que o tempo para resgate (TTR) entre o acesso inicial do invasor ao sistema da vítima e a implantação da nota de resgate é de aproximadamente dois dias.

Aqui o invasor exige o pagamento de $8.000 para as chaves de descriptografia das vítimas em caso de sucesso.

Luz da lua

Existe uma forte possibilidade de que o DEV-0270 esteja funcionando como uma ferramenta de geração de receita para uma empresa ou para uso pessoal. No entanto, isso não foi confirmado com precisão, pois esta é uma especulação firme da Microsoft.

N√≥s recomendamos:  Guia de uso Fortnite Battle Royale para PC de gra√ßa

Sob dois pseud√īnimos, este grupo √© administrado por uma empresa iraniana conhecida pelos seguintes nomes: –

  • Secnerd (secnerd[.]ir)
  • Lifeweb (lifeweb[.]isto)

Al√©m dessas organiza√ß√Ķes, a Najee Technology Hooshmand, com sede em Karaj, no Ir√£, tamb√©m est√° ligada a essas organiza√ß√Ķes. Quando se trata de direcionamento, o grupo tende a aproveitar oportunidades oportunistas.

Mitiga√ß√Ķes

Aqui abaixo mencionamos todas as mitiga√ß√Ķes recomendadas: –

  • Para prevenir tentativas de explora√ß√£o e subsequentes ataques de ransomware, √© aconselh√°vel que as empresas corrijam os seus servidores voltados para a Internet.
  • Evite a comunica√ß√£o RPC e SMB entre dispositivos usando o Microsoft Defender Firewall e dispositivos de preven√ß√£o de intrus√Ķes.
  • Para impedir ou restringir o uso de dispositivos de rede, voc√™ deve verificar o firewall e o proxy do seu per√≠metro.
  • Certifique-se de que as senhas usadas pelos administradores locais sejam fortes.
  • Sempre mantenha o Microsoft Defender Antiv√≠rus atualizado.
  • Certifique-se de habilitar o monitoramento de comportamento em tempo real no Microsoft Defender Antivirus.
  • Certifique-se de manter backups caso haja um ataque que destrua seus dados.
  • √Č imperativo que o Subsistema de Autoridade de Seguran√ßa Local (lsass.exe) em Windows est√° protegido contra roubo de credenciais.
  • A cria√ß√£o de processos originados de comandos PsExec e WMI dever√° ser bloqueada.
  • A assinatura de eventos WMI pode ser usada para bloquear a persist√™ncia.