work-731198_1280-1.jpg

Pesquisadores alertam empresas para melhorar ferramentas de EDR

Aviso vem após grupo hacker norte-coreano Lazarus ter conseguido contornar uma ferramenta de endpoint detection and response
Da Redação
26/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores de segurança da F-Secure alertam às organizações para que melhorem as equipes de detecção e resposta a incidentes em razão de um novo ataque do grupo hacker norte-coreano Lazarus que conseguiu contornar uma ferramenta de segurança de rede e EDR (endpoint detection and response), tecnologia que monitora e responde continuamente para mitigar ameaças cibernéticas, em uma empresa de criptomoeda.

O relatório de inteligência detalha um ataque que ocorreu no ano passado como parte da campanha mais ampla do grupo patrocinado pelo governo norte-coreano contra empresas de criptomoedas. Ativos desde 2018, os invasores provavelmente usaram os mesmos artefatos em pelo menos 14 países: Estados Unidos, China, Reino Unido, Canadá, Alemanha, Rússia, Coreia do Sul, Argentina, Cingapura, Hong Kong, Holanda, Estônia, Japão e Filipinas.

O Lazarus investiu “esforço significativo” para contornar as defesas cibernéticas da empresa de criptomoeda, como desabilitar o antivírus em hosts comprometidos e remover evidências de implantes maliciosos. No entanto, essas ações foram “ruidosas” em si mesmas e serviram como sinais claros de que deveriam ter sido percebidas, diz a F-Secure.

Veja isso
Grupo hacker Lazarus volta atacar com nova estrutura de malware
WannaCry tem forte ligação com grupo Lazarus

O grupo também usou utilitários de sistema operacional nativos para se misturar à atividade padrão, mas novamente “os elementos dos comandos usados ​​costumam ser anômalos e usam sequências ‘esotéricas’ específicas que oferecem oportunidades de detecção”, ressalta a F-Secure. “Esses comandos podem se misturar com a atividade padrão, então pode não ser possível construir uma detecção de extrema fidelidade para todas as técnicas usadas”, observa o relatório.

Nessa situação, acrescenta o documento, o uso de detecções de baixa fidelidade que são então agregadas em uma base de host para correlacionar a atividade e construir um limite inteligente para sistemas de alerta pode ajudar a detectar atividades maliciosas sem gerar muitos falsos positivos.

Na verdade, o Lazarus tem usado a mesma família de ferramentas observada em 2016. Ainda é eficaz por causa dessas técnicas de ocultação, embora ofereça mais oportunidades de detecção.

A F-Secure concluiu que detecção e resposta eficazes não se referem apenas a ter as ferramentas certas, mas também aos usuários que sabem o que procurar. “O alvo nessa investigação tinha uma ferramenta de EDR e segurança de rede instalada que capturou a telemetria das ações do Lazarus, mas isso não resultou em uma detecção positiva”, observa o relatório.

A opinião da F-Secure é que as pessoas desempenham um papel importante na construção de capacidade de detecção eficaz, e este incidente serve como um exemplo da necessidade de investir em pessoas, bem como em tecnologia.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório