Incidentes e Tentativas de Ataques de Ransomware

Incidentes e Tentativas de Ataques de Ransomware

A equipe do SOC da Service IT Security detectou incidentes e tentativas de ataques de Ransomware em mais de uma instituição privada neste último dia com referências ao grupo Ransomexx.

O grupo tem usado dois métodos de ataque: (1) e-mails de phishing; (2) explorando vulnerabilidades conhecidas em ambientes Linux/VMWare ESXi.

Identificamos que no modelo de phishing, o ataque é realizado em dois passos: (1) instalação de um downloader que, ao infectar a máquina, realiza o download do (2) payload que é disponível via endereço de URL de arquivo com extensão .png contendo o ransomware. Um exemplo: http://13.xxx.68.xxx/pm13/pm13.png

Colocamos abaixo uma lista compilada de Indicadores de Comprometimento (IOCs) utilizados por este grupo.

Recomendamos incluir esses estes em listas de sistemas de prevenção a incidentes (firewalls, proxy, endpoint/antivírus, etc) e de detecção de eventos (SIEM e correlacionadores de logs):

ACESSE A LISTA COMPLETA CLICANDO AQUI

Em caso de necessidade, entre em contato com o nosso time de Cyber Security.

Ficamos à disposição para acionamentos de emergência em nossos canais de contato.