O Grupo de Ransomware Crypto24 Está Utilizando Ferreiosas Personalizas Para Contornar Soluções de Segurança, ExfilTRAR DADOS E CRIPROGRAFAR ARQUIVOS EM RESPEDES COMPROMETIDAS. Segundo uma tendência Micro, como as operações de Organizações de Alvo Grandes Nos Estados Unidos, Europa e Ásia, com Foco em cronometres como finanças, fabricantes, Entretenimento e Tecnologia.
Leia Tamboma
Fortisiem Vulnerável Permite Execução Remota
Matrix Corrige Vulnerabilidades de Alta Gravidade
APÓS OBTER ACESSO INICIAL, OS ATACANTES ATIVAM CONTAS Administratives Padrão ou Criam Novas Contas Locais para Mantor Aceso Persistente. Em Seguida, Realizam Reconhecimento por Meio de Scripts e comandos para Mapear Sistemas e Configurar PersistÊncia COM Serviça Maliciosos E Tarefas Agendadas, inclusão de keylogger (WinMainsvc) e Carregador,
O Grupo Utiliza Uma Ferrenta Basaada em Código Aberto Para Desativar Mecanismos de Detecção de Fornecedores como Trend Micro, Kaspersky, Sophos, SentineLone, Malwarebytes, McAfee, Bitdefender, Broadcom (Symantec), Cisco, Cisco, Cisco, Cisco, Cisco, Cisco, Cisco, Cisco, Cisco. Nenhum Caso Específica da Trend Micro, Exploram o Utilitário Legíimo “xbcuninstaller.exe” para removedor para agente de Segurança, executado via “gpScript.exe”.
Como OPERAÇÕES Inclui Captura de Teclas e Títulos de Janelas, Movimentação lateral via SMB E Exfiltração de Dadas para o Google Drive USANando uma ferrentura personalizada com uma API Wininet. O Ransomware É Executado Após A exclusão de Cópias de Sombra do Volume, Dificultando A RecuperAção.
Uma tendência micro não detalhou o funcionamento da carga de ransomware, mas publicou indicadoras De Comprometimento para Auxiliar Na Detecção e Bloqueio de Ataques Antes Dases Fases Finais.
