Trei ameninţări rău intenţionate capabile să fure date şi fonduri au fost identificate şi analizate în profunzime în cel mai recent raport Kaspersky privind criminalitatea cibernetică. Programul GoPIX de tip "stealer" care vizează sistemul de plată PIX, programul multifuncţional Lumar şi ransomware-ul Rhysida. Pe măsură ce ameninţările cibernetice motivate financiar continuă să crească, experţii îndeamnă utilizatorii să rămână vigilenţi.
GoPIX, o campanie rău intenţionată operaţională din decembrie 2022, se concentrează pe sistemul de plată PIX utilizat pe scară largă în Brazilia. Strategia sa începe atunci când utilizatorii caută "WhatsApp web" şi sunt redirecţionaţi prin reclame înşelătoare. Folosind instrumentul antifraudă al IP Quality Score pentru a distinge utilizatorii reali de roboţi, GoPIX prezintă două opţiuni de descărcare bazate pe starea portului 27275, legate de software-ul Avast Safe Banking. Programul malware, conceput pentru a fura şi manipula datele tranzacţiilor, oferă flexibilitatea de a executa diferite etape şi de a răspunde la comenzile unui server de comandă şi control (C2).
Lumar, un "stealer" multifuncţional de data recentă, introdus în iulie 2023 de un utilizator numit "Collector", prezintă capabilităţi impresionante, inclusiv capturarea sesiunilor Telegram, colectarea parolelor, cookies, a datelor de completare automată, preluarea fişierelor de pe desktop-urile utilizatorilor şi extragerea datelor din diferite portofele criptografice. Dimensiunea compactă a lui Lumar, atribuită codării C, nu compromite funcţionalitatea acestuia. Odată executat, Lumar adună informaţii despre sistem şi datele utilizatorului, trimiţându-le către C2. Colectarea eficientă a datelor, realizată de acest malware, este facilitată de utilizarea a trei legături separate. C2, găzduit de autorul malware-ului sub forma Malware as a Service (MaaS), oferă caracteristici uşor de utilizat, precum statistici şi jurnale de date. Utilizatorii pot descărca cea mai recentă versiune de Lumar şi pot primi notificări Telegram pentru datele primite.
Rhysida, un nou venit pe scena ransomware, a fost detectat prin datele de telemetrie Kaspersky în luna mai şi funcţionează ca Ransomware-as-a-Service (RaaS). Se remarcă prin mecanismul său unic de auto-ştergere şi compatibilitatea cu versiunile Microsoft pre-Windows 10. Scris în C++ şi compilat cu MinGW şi biblioteci partajate, Rhysida prezintă un design sofisticat. Deşi era relativ nou, Rhysida a depăşit provocările iniţiale de configurare cu serverul său "onion", evidenţiind adaptabilitatea şi traiectoria de învăţare a unui grup.
Pentru a preveni ameninţările financiare, Kaspersky recomandă:
Configuraţi copii de rezervă offline ale datelor personale pe care intruşii nu le pot modifica. Asiguraţi-vă că le puteţi accesa rapid în caz de urgenţă, atunci când este necesar.
Instalaţi protecţie împotriva ransomware pentru întregul nivel endpoint. Kaspersky Anti-Ransomware Tool for Business protejează gratuit computerele şi serverele de ransomware şi alte tipuri de malware, previne exploatările şi este compatibil cu soluţiile de securitate preinstalate.
Folosiţi o soluţie de protecţie cu capabilităţi anti-phishing pentru nivelul endpoint şi serverele de e-mail, pentru a reduce şansele de infectare printr-un e-mail de phishing.
Efectuaţi un audit de securitate cibernetică pentru reţelele dumneavoastră şi remediaţi orice slăbiciuni descoperite în perimetrul sau în interiorul reţelei.
Ransomware-ul este o infracţiune. Dacă deveniţi victima unor astfel de situaţii, nu plătiţi niciodată răscumpărarea. Nu vă va garanta că vă veţi primi datele înapoi, dar va încuraja infractorii să-şi continue activitatea. În schimb, raportaţi incidentul agenţiei locale de aplicare a legii. Încercaţi să găsiţi un decriptor pe internet - veţi găsi unele disponibile pe NoMoreRansom.org