Trei amenințări rău intenționate capabile să fure date și fonduri au fost identificate și analizate în profunzime în cel mai recent raport Kaspersky privind criminalitatea cibernetică. Programul GoPIX de tip „stealer” care vizează sistemul de plată PIX, programul multifuncțional Lumar și ransomware-ul Rhysida. Pe măsură ce amenințările cibernetice motivate financiar continuă să crească, experții îndeamnă utilizatorii să rămână vigilenți.
GoPIX, o campanie rău intenționată operațională din decembrie 2022, se concentrează pe sistemul de plată PIX utilizat pe scară largă în Brazilia. Strategia sa începe atunci când utilizatorii caută „WhatsApp web” și sunt redirecționați prin reclame înșelătoare. Folosind instrumentul antifraudă al IP Quality Score pentru a distinge utilizatorii reali de roboți, GoPIX prezintă două opțiuni de descărcare bazate pe starea portului 27275, legate de software-ul Avast Safe Banking. Programul malware, conceput pentru a fura și manipula datele tranzacțiilor, oferă flexibilitatea de a executa diferite etape și de a răspunde la comenzile unui server de comandă și control (C2).
Lumar, un „stealer” multifuncțional de data recentă, introdus în iulie 2023 de un utilizator numit „Collector”, prezintă capabilități impresionante, inclusiv capturarea sesiunilor Telegram, colectarea parolelor, cookies, a datelor de completare automată, preluarea fișierelor de pe desktop-urile utilizatorilor și extragerea datelor din diferite portofele criptografice. Dimensiunea compactă a lui Lumar, atribuită codării C, nu compromite funcționalitatea acestuia. Odată executat, Lumar adună informații despre sistem și datele utilizatorului, trimițându-le către C2. Colectarea eficientă a datelor, realizată de acest malware, este facilitată de utilizarea a trei legături separate. C2, găzduit de autorul malware-ului sub forma Malware as a Service (MaaS), oferă caracteristici ușor de utilizat, precum statistici și jurnale de date. Utilizatorii pot descărca cea mai recentă versiune de Lumar și pot primi notificări Telegram pentru datele primite.
Rhysida, un nou venit pe scena ransomware, a fost detectat prin datele de telemetrie Kaspersky în luna mai și funcționează ca Ransomware-as-a-Service (RaaS). Se remarcă prin mecanismul său unic de auto-ștergere și compatibilitatea cu versiunile Microsoft pre-Windows 10. Scris în C++ și compilat cu MinGW și biblioteci partajate, Rhysida prezintă un design sofisticat. Deși era relativ nou, Rhysida a depășit provocările inițiale de configurare cu serverul său „onion”, evidențiind adaptabilitatea și traiectoria de învățare a unui grup.
Raportul complet este disponibil pe Securelist.com
Pentru a preveni amenințările financiare, Kaspersky recomandă:
- Configurați copii de rezervă offline ale datelor personale pe care intrușii nu le pot modifica. Asigurați-vă că le puteți accesa rapid în caz de urgență, atunci când este necesar.
- Instalați protecție împotriva ransomware pentru întregul nivel endpoint. Kaspersky Anti-Ransomware Tool for Business protejează gratuit computerele și serverele de ransomware și alte tipuri de malware, previne exploatările și este compatibil cu soluțiile de securitate preinstalate.
- Folosiți o soluție de protecție cu capabilități anti-phishing pentru nivelul endpoint și serverele de e-mail, pentru a reduce șansele de infectare printr-un e-mail de phishing.
- Efectuați un audit de securitate cibernetică pentru rețelele dumneavoastră și remediați orice slăbiciuni descoperite în perimetrul sau în interiorul rețelei.
- Ransomware-ul este o infracțiune. Dacă deveniți victima unor astfel de situații, nu plătiți niciodată răscumpărarea. Nu vă va garanta că vă veți primi datele înapoi, dar va încuraja infractorii să-și continue activitatea. În schimb, raportați incidentul agenției locale de aplicare a legii. Încercați să găsiți un decriptor pe internet – veți găsi unele disponibile pe NoMoreRansom.org
