sophos - Future Technologies

4 fevereiro 2019

adm.future

0

Categories: Blog, Disponibilidade, Notícias, Segurança

Estudo da Sophos revela que tendência para ransomware direcionado continua

A Sophos, líder global de segurança na rede e para endpoint, lançou um novo relatório sobre um grupo de ransomware conhecido como Matrix. Este malware tem estado em operação desde 2016 e a Sophos detetou 96 amostras. Tal como aconteceu com outros tipos anteriores de ransomware direcionado, incluindo o BitPaymer, o Dharma e o SamSam, os atacantes que utilizam o Matrix têm estado a infiltrar-se nas redes e a infectar computadores através do Remote Desktop Protocol (RDP), uma ferramenta de acesso remoto integrada nos computadores com sistema operativo Windows. No entanto, ao contrário de outros ransomware, o Matrix infeta apenas um único equipamento na rede, em vez de se propagar amplamente por toda a organização.

No seu último artigo, a SophosLabs submeteu o código e as técnicas, em constante evolução, assim como os métodos e as mensagens de extorsão de dinheiro às vítimas, a um processo de engenharia reversa. Os criminosos que criaram o Matrix fizeram evoluir os parâmetros dos ataques ao longo do tempo, adicionando um novo código e ficheiros que mobilizam diferentes tarefas e cargas na rede.

As notas de resgate do Matrix encontram-se introduzidas no código de ataque, mas as vítimas não sabem quanto terão de pagar até entrarem em contacto com os atacantes. Durante grande parte da existência do Matrix, os agressores utilizaram um serviço de mensagens instantâneas anônimas criptograficamente protegido, denominado bitmsg.me. Com a descontinuação deste serviço, os criminosos regressaram à utilização de contas de e-mail normais.

Os atacantes que utilizam o Matrix exigem o pagamento de um resgate em criptomoeda, em equivalentes a dólares americanos. Este fato é invulgar uma vez que, normalmente, cada criptomoeda vem com um valor específico na sua própria denominação, e não em equivalentes a dólares. Não é claro se esta exigência quanto ao resgate se trata de uma manobra deliberada de diversão, ou se resulta apenas de uma tentativa de navegar num cenário de taxas de câmbio de criptomoeda em forte flutuação. Com base nas interações que o SophoLabs teve com os atacantes, os resgates exigidos eram de 2500$ USD, apesar de este valor ter sido reduzido quando os investigadores deixaram de responder às exigências.

O Matrix é um pouco como o “canivete suíço” do mundo do ransomware, pois apresenta novas variantes capazes de pesquisar e identificar potenciais vítimas depois de infetada a rede. Apesar do volume da amostra ser reduzido, isto não torna esta ameaça menos perigosa, pelo contrário, o Matrix encontra-se em evolução e estão a surgir novas versões à medida que os criminosos aprendem com cada novo ataque.

No relatório de ameaças da Sophos de 2019, Sophos’ 2019 Threat Report, destacamos que o ransomware dirigido será um dos fatores a influenciar o comportamento dos hackers, e as organizações devem permanecer atentas e trabalhar ativamente para assegurar que não são um alvo fácil de atingir.

A Sophos recomenda a implementação imediata de quatro medidas de segurança:

Restrição do acesso a aplicações de controlo remoto tais como o Remote Desktop (RDP) e o VNC
Verificação completa e regular da vulnerabilidade e testes de segurança em toda a rede. Se não realizou os testes de intrusão, está na altura de os fazer. Se continuar a ignorar os conselhos dos seus detetores de intrusão, os cibercriminosos serão bem sucedidos.
Autenticação multifatores para sistemas internos sensíveis, mesmo para os colaboradores na LAN ou através de VPN.
Criação de sistemas de back-up offline e offsite, bem como desenvolvimento de um plano de recuperação em caso de desastre, que abrange a restauração dos dados e dos sistemas para para todas as organizações, de uma vez só.

Para mais informações e análise podem ser obtidas no relatório Matrix: “A Low-Key Targeted Ransomware” realizado pela Sophos. Clique aqui para acessar o relatório!

Quer se proteger contra ransomware? A Future é parceira Sophos! Preencha o formulário abaixo e entre em contato conosco.

Fonte: WinTech Portugal.

Sophos Intercept X para Servidores impede que ataques afetem o núcleo empresarial

A Sophos, líder global de segurança de rede e endpoint, anuncia o Sophos Intercept X para Servidor, a proteção de servidor de próxima geração com tecnologia preditiva de deep learning que proporciona segurança em constante evolução contra ciberameaças.

As redes neurais do Deep Learning da Sophos são preparadas com centenas de milhares de amostras para encontrarem características suspeitas de códigos maliciosos e evitarem ataques de malware nunca antes vistos. A pesquisa do SophosLabs indica que 75% do malware encontrado numa organização é único para aquela organização, indicando que a maior parte do malware é previamente desconhecido.

Um estudo recente da Sophos revela que dois terços dos gestores de TI de todo o mundo não compreendem o que é a tecnologia anti-exploit, deixando as suas empresas vulneráveis a violação de dados. Uma vez dentro da rede, os cibercriminosos podem utilizar movimentos persistentes e laterais para afetar e controlar os servidores e acederem ao elevado valor de dados armazenados, tais como informação pessoal identificável (PII), registos financeiros como salários ou impostos, propriedade intelectual, aplicações partilhadas – que pode ser vendido na Dark Web ou utilizado para outro tipo de ataques e lucros monetários. Os servidores podem sofrer também danos colaterais dos ciberataques de ransomware ou outros ataques habituais. Os ataques aos servidores podem ser mais devastadores para uma empresa do que ataques a endpoints, devido aos dados cruciais que contêm.

A Sophos demonstra neste vídeo “How Active Adversaries Attack in Real-Time” o hacking e as técnicas avançadas de exploit que os cibercriminosos utilizam, também presente no Sophos.com/Servers.

“Os servidores são o alvo dos cibercriminosos, uma vez que contêm informação valiosa e têm um propósito organizacional mais amplo do que os endpoints individuais. Uma empresa pode ser potencialmente devastada se os cibercriminosos infiltrarem nos seus servidores com ransomware ou códigos maliciosos, ou tirarem partido de vulnerabilidades para obterem acesso. Assim que o servidor é violado, os atacantes podem entrar na rede e causar danos graves, bem como retirar dados,” refere Dan Schiappa, Vice-Presidente Sênior e Diretor Geral de Produtos na Sophos. “Os cibercriminosos utilizam a informação roubada para os seus próprios ataques de phishing e grupos criminosos, ou podem revendê-la a um preço mais elevado na Dark Web ou numa rede privada de compradores. Os especialistas de ameaças da Sophos encontraram acessos a servidores comprometidos à venda na Dark Web, além dos dados roubados – um bônus para os cibercriminosos, mas um golpe duplo para as empresas.”

Os atacantes também utilizam os servidores violados como proxies para redirecionar o tráfego para websites maliciosos e estão, neste momento, a instalar ‘criptomineiros’ nas torres de servidores e em contas cloud, para que possam gerar criptomoedas ao roubarem CPU, RAM, eletricidade e outros recursos das empresas. Os motivos dos cibercriminosos com base no modo como os servidores são utilizados, o que armazenam e o que pode ser aproveitado para os diversos crimes, destaca a necessidade de instalar uma segurança preditiva criada para o servidor, com tecnologia anti-exploit avançada que ajuda a proteger até mesmo sistemas vulneráveis.

“Os servidores são infraestruturas essenciais, mas são muitas vezes esquecidos na estratégia endpoint das várias empresas,” refere Schiappa. “Não chega simplesmente instalar a proteção endpoint tradicional nos servidores, porque os mesmos exigem ferramentas e características adicionais, tais como a detecção do volume de trabalho na cloud, incluindo o Microsoft Azure e a Amazon Web Services, e proteção para mitigar o risco de ativos TI falsos ou esquecidos. A proteção específica para servidor é necessária numa estratégia estratificada de segurança bem-sucedida de forma a reduzir o risco de violação de dados. Combinado com o Sophos Synchronized Security e a gestão simples desde a plataforma Sophos Central, o Intercept X para Servidor é uma ferramenta forte que ajuda a que as empresas não se tornem a próxima vítima.”

A necessidade de proteger o servidor existe em organizações de todos os tamanhos, com as pequenas empresas a correrem um risco maior do que as organizações maiores e com melhores recursos como explica Frank Dickson, Vice-Presidente de pesquisa de Produtos de Segurança com a IDC: “As pequenas e médias empresas (PME) enfrentam desafios na proteção dos servidores, dado que necessitam do mesmo nível de proteção das outras empresas, ainda assim a proteção deve ser uma oferta de utilização fácil. Para além disso, infelizmente, as PME são frequentemente tentadas a utilizar ofertas endpoint para PC inapropriadas e sem robustez suficiente para proteger os servidores como uma forma de poupar custos, forçando os fornecedores de serviço de segurança de servidores para PME a proporcionar ofertas econômicas e atraentes que são também apropriadas para departamentos de TI mais pequenos ou com menos colaboradores.”

Tendo em conta a abordagem direta da Sophos, Dickson acrescenta: “A Sophos responde à necessidade de uma utilização fácil ao integrar os seus produtos na plataforma Sophos Central, para que exista um dashboard onde os parceiros e clientes gerem cada camada de segurança independentemente de ser on premise ou na cloud. A nova solução Intercept X para Servidor aumenta significativamente a proteção dos servidores com deep learning, anti-exploit e outras ferramentas chave. A tecnologia anti-exploit tem um direito do cliente no servidor, um requerimento necessário baseado na forma como os hackers tiram proveito das vulnerabilidades do servidor para invadir os sistemas. Tendo em conta a disponibilidade e acessibilidade dos kits de exploit na Dark Web, até mesmo cibercriminosos com pouca experiência podem lançar ataques poderosos, tornando a proteção sofisticada específica para servidor um requisito fundamental.”

Quer conhecer a Solução? A Future é parceira Sophos! Clique aqui e entre em contato conosco.

Fonte: Wintech.

Sophos E-mail Advanced: E-mails mais inteligentes e seguros

A Sophos, líder global de segurança de rede e endpoint, acaba de lançar a Sophos Email Advanced, a primeira solução de proteção do e-mail que oferece segurança preditiva com proteção ativa contra ameaças, autenticação de e-mail anti-phishing, análise de e-mails enviados e políticas de suporte.

Uma pesquisa da SophosLabs revelou que 75% do malware numa organização é único dessa organização, o que indica que a maioria dos ataques são de dia zero. A única forma de combater esta tendência é com a rede neural de deep learning integrada na tecnologia sandboxing da solução Sophos Email para identificar rapidamente ficheiros maliciosos nunca antes vistos enviados através de e-mail.

O e-mail continua a ser a porta de entrada preferencial para os cibercriminosos que lançam campanhas de ‘spear-phishing’, localizadas ou ‘spray and pray’. Diariamente, a Sophos processa dados de mais de 10 milhões de caixas de entrada protegidas pela Sophos Email. Aproximadamente 80% dos e-mails categorizados como spam têm um payload malicioso. Tal como temos verificado nos últimos anos, o e-mail é também o método preferencial para disseminar ransomware.

Um estudo recente da Sophos mostrou que mais de 50% das empresas de todo o mundo sofreram um ataque de ransomware nos últimos 12 meses. A solução Sophos Email Advanced inclui tecnologia CryptoGuard na sandbox para deter o ransomware antes de chegar às caixas de entrada dos colaboradores. Outra principal defesa contra o ransomware e os ataques de phishing é a proteção Time-of-Click, que monitoriza o URL quando é clicado, prevenindo ataques retardados ou furtivos. Finalmente, a análise dos e-mails enviados e as múltiplas políticas de suporte podem prevenir que, uma organização que tenha sido atacada, envie não intencionalmente malware ou spam para clientes ou parceiros, reduzindo o impacto do ataque e protegendo a reputação da empresa.

“Com o crescimento das plataformas cloud como o Office365 e o Google G-Suite, as empresas precisam de soluções de segurança avançadas que detetam ameaças dia zero e malware avançado. O Ransomware-As-A-Service (RaaS) e os kits de malware facilitaram aos cibercriminosos personalizar e difundir ataques mais complexos e direcionados através de email,” diz Bill Lucchini, Vice-Presidente Sénior e Diretor Geral do Grupo de Messaging Security da Sophos. “Os administradores de TI necessitam de segurança mais inteligente e preditiva para detetar e deter as ameaças atuais. A plataforma de gestão cloud da solução Sophos Email Advanced, a Sophos Central, é capaz de oferecer os mais elevados níveis de proteção para qualquer serviço de e-mail, permitindo aos utilizadores voltar a confiar na sua caixa de entrada.”

Quando gerida através da Sophos Central, a solução Sophos Email é um pilar chave de um sistema integrado de proteção de dados para o utilizador final. Os profissionais de TI podem gerir a solução de proteção endpoint Intercept X juntamente com as formações de educação para colaboradores das soluções Sophos Email Advanced e Phish Threat, oferecendo uma proteção mais robusta para detetar e bloquear ameaças, e formar os colaboradores para não porem em risco a estratégia de segurança de uma empresa.

Os clientes e parceiros Sophos que participaram no programa de acesso antecipado à Sophos Email Advanced, disseram:

“Vimos em primeira mão que a solução é capaz de bloquear malware que anteriormente poderia penetrar facilmente nos sistemas. Através do programa beta, verificámos que é eficiente em reduzir a quantidade de spam que chega aos utilizadores finais, sendo facilmente gerida através da Sophos Central”, diz Enedel Rivera, Service Desk Supervisor, Lanspeed.

“Nós esforçamo-nos por estar a par das mais recentes tecnologias de segurança, especialmente com o atual panorama de ameaças sempre em evolução. Como parceiro Sophos, ficamos impressionados com o roadmap dos produtos e os constantes aperfeiçoamentos das soluções. A Sophos Email Advanced é eficiente na detenção do malware mais avançado e na redução do spam. Estamos ansiosos por poder apresentar esta solução aos nossos clientes, através da qual a proteção do e-mail pode ser facilmente gerida através da Sophos Central,” acrescenta Gavin Wood, Technical Director, Chess ICT.

As novas funcionalidades da Sophos Email Advanced incluem:

Active Threat Protection (ATP)
Tecnologia sandbox cloud Sophos Sandstorm e proteção URL avançada
Inteligência artificial incorporada na sandboxing da Sophos Email, capaz de detetar e bloquear malware desconhecido
Proteção de URL avançada analisa a reputação dos links do website ou e-mail no momento do clique – bloqueando ataques retardados ou furtivos
Autenticação de e-mail anti-Phishing
Combinação de técnicas de autenticação SPF, DKIM e DMARC e análise do cabeçalho do e-mail
Sender Policy Framework (SPF) para declarar e verificar quem pode enviar e-mails desde um determinado domínio
Sistema de autenticação de email Domain Keys Identified Mail (DKIM) baseado em chaves criptográficas assimétricas
Domain Message Authentication Reporting & Conformance (DMARC) para determinar o que fazer quando as mensagens falham as verificações SPF e DKIM
Análise do envio de e-mails e múltiplas políticas de suporte
Análise de Spam e vírus nos e-mails enviados para prevenir reencaminhamento de ameaças não intencionadas e proteger a reputação
Políticas de segurança personalizadas que podem ser criadas para indivíduos, grupos ou todo o domínio, em apenas alguns minutos
Implementação e opções de localização de processamento de dados disponível através da plataforma cloud de gestão, a Sophos Central
Sophos Secure Email Gateways pode ser implementada como ferramenta on-premise ou juntamente com a nova versão da Sophos XG Firewall
Centros de processamento de mensagens em na Irlanda, EUA e Alemanha
Sophos Sandstorm na Irlanda, EUA e Japão