Ransomware 3AM usa máquinas virtuais para escapar de deteção de antivírus

Um estudo recente divulgado pelo Sophos X-Ops, iniciativa de segurança cibernética da Sophos que reúne uma força-tarefa de especialistas da área, alerta sobre uma campanha criminosa em andamento de vários grupos de ransomware. Os invasores usam o chamado e-mail bombing (disparo de milhares de e-mails, geralmente durante a madrugada) e vishing (mensagens de voz fraudulentas) para invadir redes de empresas e roubar dados.

Segundo a pesquisa – publicada em detalhes no blog da empresa – os invasores estão se passando por suportes técnicos do Microsoft Teams para enganar funcionários e fazê-los conceder acesso remoto ao computador. É assim que os atacantes implantam o ransomware no ambiente corporativo.

Leia mais: Saúde: 81% de violações de segurança envolvem informações de pacientes

O Sophos X-Ops já havia relatado essa campanha em janeiro, quando 15 empresas foram afetadas. Desde então, o grupo de investigação identificou mais de 55 tentativas, de acordo com os dados de casos de MDR e IR da Sophos. Além disso, um outro grupo de ransomware adotou uma cadeia de ataque semelhante: o ransomware 3AM.

Esse novo grupo mudou táticas para aumentar chances de sucesso, segundo os pesquisadores. Passou, por exemplo, a implementar uma máquina virtual em um computador comprometido, se escondendo do software de proteção instalado. Os ataques passaram ainda a ser mais precisos ao identificar melhor as vítimas, mirando endereços de e-mail e números de telefone de funcionários específicos e falsificação do número do help desk da própria organização.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!