Como o malware LemonDuck tem como alvo as empresas e como se manter protegido
O cenário de ameaças à segurança cibernética piorou muito desde o início da pandemia COVID-19. As empresas e empreendedores correm mais riscos do que nunca; na verdade, de acordo com o AV-Test Institute of IT Security, Alemanha, havia 137,7 milhões de novas amostras de malware em 2020. Em agosto de 2021, 117 milhões de novas amostras de malware já foram encontradas.
No entanto, um malware não tão novo está surgindo novamente e visando PCs com Windows. É chamado de malware LemonDuck e, embora possa parecer bonito, é equipado para roubar seus dados e causar danos aos seus sistemas. Portanto, vamos explorar seus perigos e como você ou sua empresa podem ficar protegidos.
O que é o malware LemonDuck?
LemonDuck é um malware robusto e atualizado ativamente que está no radar de segurança cibernética desde maio de 2019. Ele ganhou a infâmia por ataques de mineração de botnet e criptomoeda e, desde então, evoluiu para um malware altamente sofisticado.
LemonDuck é uma ameaça de plataforma cruzada que tem como alvo seus dispositivos Windows e Linux. Ele emprega uma variedade de vetores de ataque diferentes para se espalhar, como e-mails de phishing, exploits, dispositivos USB e força bruta, entre outros. A Microsoft alertou que, além de usar recursos para suas atividades tradicionais de bot e mineração, o LemonDuck agora pode roubar suas credenciais e remover os controles de segurança de seus sistemas.
Ele não se preocupa com os limites do domínio e se move lateralmente em seus aplicativos, terminais, identidades de usuário e domínios de dados. Ele pode instalar ferramentas para futuros ataques operados por humanos e defender seus sistemas pode ser um desafio se você não souber o que está fazendo.
Por que você deve levar a sério a ameaça LemonDuck
Em seus primeiros dias, LemonDuck visava principalmente a China e não foi muito além disso. Hoje, suas operações se expandiram para vários países: Estados Unidos, Rússia, China, Alemanha, Reino Unido, Índia, Coréia, Canadá, França e Vietnã sofreram o pior nos últimos tempos.
LemonDuck infecta sistemas disfarçando-se de arquivos inofensivos que vemos diariamente. É fácil cair nele, pois ele usa notícias atuais, eventos ou o lançamento de novos exploits para executar campanhas eficazes e atrair seus alvos.
Por exemplo, a postagem da Microsoft discutindo o malware afirma que localizou LemonDuck usando iscas com o tema COVID-19 em ataques por e-mail em 2020. Em 2021, ele explorou vulnerabilidades do Exchange Server recentemente corrigidas para obter acesso a sistemas desatualizados.
Além disso, LemonDuck não se limita a explorar vulnerabilidades novas ou populares. Se a sua organização tem vulnerabilidades antigas não corrigidas em seu sistema, o LemonDuck pode explorá-las enquanto você se concentra em corrigir uma nova vulnerabilidade em vez de corrigir o que já é conhecido.
O que torna o LemonDuck ainda mais perigoso é que ele não tolera nenhum outro invasor ao seu redor. Na verdade, o LemonDuck os remove de um dispositivo comprometido, eliminando o malware concorrente. Ele também evita novas infecções corrigindo as mesmas vulnerabilidades usadas para obter acesso.
Fique de olho no irmão do mal do LemonDuck, LemonCat
A equipe de inteligência de ameaças do Microsoft 365 Defender também expôs a infraestrutura LemonCat em seu relatório. LemonCat também usa malware LemonDuck, mas uma organização diferente opera para seus próprios objetivos.
Ele usa dois domínios com a palavra “cat” em seus domínios (sqlnetcat [.] Com, netcatkit [.] Com) e foi visto explorando vulnerabilidades no Microsoft Exchange Server quando surgiu em janeiro de 2021.
Você deve ter cuidado com o LemonCat, pois ele é usado para operações perigosas que comprometem seus dados e sistemas. Hoje, os hackers usam o LemonCat para instalar backdoors, roubo de credenciais e dados e entrega de cargas úteis de malware, como o Trojan do Windows "Ramnit".
Mas só porque LemonCat é usado para ataques mais perigosos, não significa que você deva levar o malware LemonDuck menos a sério. Na verdade, essas descobertas mostram como essa ameaça dupla pode ser perigosa para os dispositivos Windows. Os invasores podem reutilizar o mesmo conjunto de ferramentas, acesso e métodos em intervalos dinâmicos para causar maiores danos à sua empresa do que o previsto anteriormente.
Como você pode se manter protegido com o Microsoft 365 Defender
Felizmente, você já tem um sistema instalado que pode protegê-lo contra ameaças à segurança cibernética. Por exemplo, você pode já ter um software antivírus eficaz e ferramentas de segurança instaladas em seus sistemas. Caso contrário, você deve considerar obter o Microsoft 365 Defender se desejar proteção em um nível corporativo.
O Microsoft 365 Defender é um pacote de defesa empresarial unificado que compreende as soluções Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity e Microsoft Cloud App Security.
O Microsoft 365 Defender pode ajudá-lo a detectar riscos de segurança, investigar ataques em sua organização e prevenir automaticamente atividades prejudiciais. Esta solução integrada de detecção e resposta a ameaças entre domínios fornece à sua organização defesa coordenada e automática para bloquear ameaças antes que se tornem ataques.
Suas proteções líderes do setor alimentadas por IA podem ajudá-lo a superar as ameaças amplas e sofisticadas do LemonDuck. Um bom exemplo é o Microsoft 365 Defender for Office 365, que detecta os e-mails maliciosos enviados pelo botnet LemonDuck para entregar cargas de malware causadoras de danos.
Por outro lado, o Microsoft Defender for Endpoint detecta e bloqueia implantes LemonDuck, cargas úteis e atividades maliciosas em dispositivos Linux e Windows.
Com o Microsoft 365 Defender, você tem ricas ferramentas de investigação que sua equipe de segurança pode usar para expor detecções de atividade LemonDuck. Ele analisa e normaliza alertas e eventos conectados e os funde em incidentes para dar a você uma visão completa e contexto de um ataque – tudo em um único painel.
Além disso, ele até expõe tentativas de comprometer e ganhar uma posição na rede, para que as equipes de operações de segurança possam responder e resolver esses ataques com eficiência e confiança.
Como você pode implantar o Microsoft 365 Defender em sua empresa
Conforme descrito na documentação oficial do Microsoft 365 Defender , o serviço é ativado automaticamente se um cliente qualificado com as permissões necessárias visitar o portal do Microsoft 365 Defender.
Você pode usar o Microsoft 365 Defender sem nenhum custo adicional se tiver uma licença para um produto de segurança Microsoft 365, como Microsoft 365 E5 ou A5, Windows 10 Enterprise E5 ou A5 e Office 365 E5 ou A5.
O que mais fazer para manter o LemonDuck na baía
Você também pode aplicar certas atenuações para fortalecer sua defesa e reduzir o impacto do malware LemonDuck.
- Faça a varredura regularmente em seus dispositivos USB e de armazenamento removível e bloqueie-os em dispositivos sensíveis. Você também deve desligar a execução automática e ativar a proteção contra vírus em tempo real.
- Desconfie de e-mails suspeitos. LemonDuck tem usado ataques por e-mail com assuntos como “The Truth of COVID-19”, “HALTH ADVISORY: CORONA VIRUS,” “What the fcuk,” “This is your order?” e mais. Existem três tipos de anexos usados para essas iscas: .doc, .js ou um .zip contendo um. Arquivo. Seja qual for o tipo, o arquivo é denominado "leia-me". Ocasionalmente, você encontrará todos os três no mesmo e-mail.
- Incentive o uso de navegadores da web que ofereçam suporte ao SmartScreen em sua organização. O SmartScreen identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites de golpes e sites que contêm exploits e hospedam malware.
Existem outras recomendações importantes de mitigação sobre as quais você pode ler na Parte 2 da série de blogs da Microsoft . Lá, você também poderá explorar uma análise técnica aprofundada das ações maliciosas que seguem uma infecção do LemonDuck e obter orientação para investigar os ataques do LemonDuck.
Mantenha sua organização protegida
LemonDuck e LemonCat são ameaças que você deve levar a sério. Malwares multicomponentes em constante evolução como esses podem criar novas maneiras de acessar e danificar seus dispositivos Windows e seus ativos de negócios.
No entanto, você pode se manter protegido permanecendo alerta e atualizado e fazendo escolhas inteligentes. Como implantar uma ferramenta de segurança robusta como o Microsoft 365 Defender para permitir que sua equipe de segurança detecte, analise e elimine ameaças antes que possam causar danos.