A equipe do SOC da Service IT Security detectou incidentes e tentativas de ataques de Ransomware em mais de uma instituição privada neste último dia com referências ao grupo Ransomexx.
O grupo tem usado dois métodos de ataque: (1) e-mails de phishing; (2) explorando vulnerabilidades conhecidas em ambientes Linux/VMWare ESXi.
Identificamos que no modelo de phishing, o ataque é realizado em dois passos: (1) instalação de um downloader que, ao infectar a máquina, realiza o download do (2) payload que é disponível via endereço de URL de arquivo com extensão .png contendo o ransomware. Um exemplo: http://13.xxx.68.xxx/pm13/pm13.png
Colocamos abaixo uma lista compilada de Indicadores de Comprometimento (IOCs) utilizados por este grupo.
Recomendamos incluir esses estes em listas de sistemas de prevenção a incidentes (firewalls, proxy, endpoint/antivírus, etc) e de detecção de eventos (SIEM e correlacionadores de logs):
ACESSE A LISTA COMPLETA CLICANDO AQUI
Em caso de necessidade, entre em contato com o nosso time de Cyber Security.
Ficamos à disposição para acionamentos de emergência em nossos canais de contato.
