{"id":17873,"date":"2021-08-05T19:59:58","date_gmt":"2021-08-05T22:59:58","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17873"},"modified":"2021-08-05T20:15:06","modified_gmt":"2021-08-05T23:15:06","slug":"ransomware-group-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/","title":{"rendered":"As pol\u00edticas de grupo permitem a dissemina\u00e7\u00e3o de ransomware"},"content":{"rendered":"

A cria\u00e7\u00e3o de ransomware tornou-se uma ind\u00fastria underground<\/a> h\u00e1 algum tempo, com servi\u00e7os de suporte t\u00e9cnico, centros de imprensa e campanhas publicit\u00e1rias. Como em qualquer outro setor, a cria\u00e7\u00e3o de um produto competitivo requer melhoria cont\u00ednua. O LockBit, por exemplo, \u00e9 o mais recente de uma s\u00e9rie de grupos de cibercriminosos que anunciam a capacidade de automatizar a infec\u00e7\u00e3o de computadores locais por meio de um controlador de dom\u00ednio.<\/p>\n

O LockBit segue o modelo Ransomware as a Service (RaaS), fornecendo aos seus clientes (os pr\u00f3prios atacantes) infraestrutura e malware, e recebendo uma parte do resgate. A invas\u00e3o da rede da v\u00edtima \u00e9 responsabilidade do contratante e, no que diz respeito \u00e0 distribui\u00e7\u00e3o do ransomware pela rede, o LockBit projetou uma tecnologia bastante interessante.<\/p>\n

Distribui\u00e7\u00e3o do LockBit 2.0<\/h2>\n

Depois que os invasores obt\u00eam acesso \u00e0 rede e alcan\u00e7am o controlador de dom\u00ednio, relata o Bleeping Computer<\/a>, eles ent\u00e3o executam o malware, criando novas pol\u00edticas de grupo de usu\u00e1rios, que s\u00e3o automaticamente enviadas por push a cada dispositivo da rede. As pol\u00edticas primeiro desabilitam a tecnologia de seguran\u00e7a integrada do sistema operacional. Outras pol\u00edticas criam uma tarefa agendada em todas as m\u00e1quinas Windows para executar o ransomware.<\/p>\n

A Bleeping Computer cita o pesquisador Vitali Kremez dizendo que o ransomware usa a API do Windows Active Directory para realizar consultas do protocolo LDAP para obter uma lista de computadores. O LockBit 2.0 ent\u00e3o ignora o Controle de Conta de Usu\u00e1rio (UAC, sigla em ingl\u00eas) e \u00e9 executado silenciosamente, sem acionar nenhum alerta no dispositivo que est\u00e1 sendo criptografado.<\/p>\n

Aparentemente, isso representa a primeira dissemina\u00e7\u00e3o de malware para o mercado de massa por meio de pol\u00edticas de grupo de usu\u00e1rios. Al\u00e9m disso, o LockBit 2.0 entrega notas de minuciosas de resgate, e as imprime em todas as impressoras conectadas \u00e0 rede.<\/p>\n

Como posso proteger minha empresa de amea\u00e7as semelhantes?<\/h2>\n

Lembre-se de que um controlador de dom\u00ednio \u00e9, na verdade, um servidor Windows e, como tal, precisa de prote\u00e7\u00e3o. O Kaspersky Security for Windows Server, que vem com a maioria de nossas solu\u00e7\u00f5es de seguran\u00e7a de endpoint para empresas<\/a> e protege os servidores Windows de grande parte das amea\u00e7as atuais, deve fazer parte do seu arsenal.<\/p>\n

Ao se espalhar por meio de pol\u00edticas de grupo, o ransomware representa o \u00faltimo est\u00e1gio de um ataque. A atividade maliciosa deve se tornar aparente muito mais cedo, por exemplo, quando os invasores entram pela primeira vez na rede ou tentam sequestrar o controlador de dom\u00ednio. Solu\u00e7\u00f5es Managed Detection and Response<\/a> s\u00e3o particularmente eficazes na detec\u00e7\u00e3o de sinais desse tipo de ataque.<\/p>\n

Mais importante, os cibercriminosos costumam usar t\u00e9cnicas de engenharia social e e-mail de phishing para obter acesso inicial. Para evitar que seus funcion\u00e1rios caiam em tais armadilha, invista em conscientiza\u00e7\u00e3o sobre ciberseguran\u00e7a<\/a> com treinamento regular.
\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Ransomware LockBit 2.0 pode se propagar por uma rede local por meio de pol\u00edticas de grupo criadas em um controlador de dom\u00ednio hackeado.<\/p>\n","protected":false},"author":2581,"featured_media":17874,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[2135,83],"class_list":{"0":"post-17873","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ransomawre","11":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-group-policies\/23123\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-group-policies\/18605\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-group-policies\/9294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-group-policies\/25107\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-group-policies\/23122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-group-policies\/31178\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-group-policies\/9888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-group-policies\/40877\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-group-policies\/15096\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-group-policies\/31314\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-group-policies\/27355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-group-policies\/24164\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-group-policies\/29500\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-group-policies\/29305\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomawre\/","name":"ransomawre"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17873"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17873\/revisions"}],"predecessor-version":[{"id":17875,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17873\/revisions\/17875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17874"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}