O alerta foi publicado pela Agência de Segurança Cibernética dos EUA sobre os riscos decorrentes dos contínuos ataques do malware por meio de spams de phishing
O Departamento de Segurança Nacional dos Estados Unidos alertou nesta quinta-feira, 5, as instituições do setor de serviços financeiros sobre os riscos decorrentes dos contínuos ataques do malware Dridex por meio de spams de phishing.
O alerta foi publicado pela Agência de Segurança Cibernética e Infraestrutura (CISA, na sigla em inglês) por meio do Sistema Nacional de Conscientização Cibernética dos EUA, ferramenta projetada para fornecer ao setor financeiro e aos usuários informações sobre tópicos e ameaças atuais sobre segurança.
“Como os hackers que usam o malware Dridex e suas variantes continuam a atingir o setor de serviços financeiros, incluindo bancos e clientes, as técnicas, táticas e procedimentos contidos no relatório merecem atenção renovada”, afirma a CISA.
O alerta vem com “uma lista de indicadores de comprometimento não relatados anteriormente, derivados de informações relatadas ao FinCEN” por empresas financeiras.
Além de incentivar os líderes de segurança a configurar as ferramentas de defesa de suas empresas para detectar a atividade de trojan bancário do Dridex e evitar possíveis ataques, a CISA também fornece uma lista de medidas de mitigação para reduzir riscos.
De acordo com a agência, as recomendações de mitigação listadas abaixo são projetadas para abordar especificamente as táticas, técnicas e procedimentos (TTPs) do Dridex:
• Garantir que os sistemas sejam definidos por padrão para impedir a execução de macros;
• Informar e educar os funcionários sobre a aparência de mensagens de phishing, especialmente aquelas usadas no passado pelos hackers para distribuição de malware;
• Atualize os sistemas de detecção e prevenção de intrusões com frequência para garantir que as mais recentes variantes de malware e downloaders sejam incluídas;
• Realize backup regular de dados, garantindo que os backups estejam protegidos contra possíveis ataques de ransomware;
• Simular as respostas dos funcionários a mensagens de phishing e invasões não autorizadas;
• Se houver alguma dúvida sobre a validade da mensagem, ligue e confirme a mensagem com o remetente usando um número ou endereço de e-mail já registrado;
• Tesouro Nacional e a CISA lembram aos usuários e administradores que usem as seguintes práticas recomendadas para fortalecer a segurança dos sistemas de sua organização:
• Mantenha assinaturas e mecanismos antivírus atualizados;
• Mantenha os patches do sistema operacional atualizados;
• Desative os serviços de compartilhamento de arquivos e impressoras. Se esses serviços forem necessários, use senhas fortes ou autenticação do Active Directory;
• Restrinja a capacidade (permissões) dos usuários de instalar e executar aplicativos de software indesejados. Não adicione usuários ao grupo de administradores locais, a menos que seja necessário;
• Aplique uma política de senha forte e exija mudanças regulares de senha;
• Tenha cuidado ao abrir anexos de e-mail, mesmo que o anexo seja esperado e o remetente pareça ser conhecido;
• Habilite um firewall pessoal nas estações de trabalho e configure-o para negar solicitações de conexão não solicitadas;
• Desative serviços desnecessários nas estações de trabalho e servidores da agência;
• Procure e remova anexos de e-mail suspeitos; verifique se o anexo digitalizado é seu “tipo de arquivo verdadeiro” (ou seja, a extensão corresponde ao cabeçalho do arquivo);
• Monitorar os hábitos de navegação na web dos usuários; restringir o acesso a sites com conteúdo desfavorável;
• Tenha cuidado ao usar mídia removível (por exemplo, pen drives USB, unidades externas, CDs);
• Examine todo o software baixado da Internet antes de executar;
• Manter a consciência situacional das ameaças mais recentes.
• Implementar listas de controle de acesso apropriadas;
• Exercer procedimentos de segurança cibernética e planos de continuidade das operações para aprimorar e manter a capacidade de responder durante e após um incidente cibernético.
O DHS também incentiva organizações e usuários que foram afetados em um ataque bancário da Dridex ou suspeitam de atividades maliciosas relacionadas à Dridex a entrar em contato com a CISA ou o FBI o mais rápido possível, usando as seguintes informações de contato para solicitar assistência técnica ou recursos para resposta a incidentes:
O Dridex, trojan bancário avançado e modular, foi detectado pela primeira vez em 2014 e atualizado continuamente, com amostras ainda sendo detectadas em campanhas direcionadas a uma ampla gama de alvos da Europa e América do Norte, como a CISA também alertou hoje. O principal uso do malware é roubar credenciais bancárias e foi atribuído ao grupo de ameaças TA505 (conhecido como Evil Corp.) que está ativo desde pelo menos o terceiro trimestre de 2014.
