Chat with us, powered by LiveChat

Prevenção de espionagem de Palmerworm

Um grupo de espionagem conhecido como Palmerworm usou um novo malware para atacar alvos em todo o mundo, incluindo empresas de mídia, finanças, construção e engenharia nos Estados Unidos, Japão, Taiwan e China.

Em alguns casos, Palmerworm manteve uma presença em redes comprometidas por mais de um ano usando táticas de 'viver fora da terra'. Esses ataques tiram proveito de software legítimo para não levantar suspeitas de que algo pode estar errado. O malware também usa certificados de assinatura de código roubados nas cargas para fazer com que o malware pareça legítimo.

Os pesquisadores não conseguem ver o que Palmerworm está exfiltrando de suas vítimas, mas o grupo é considerado um grupo de espionagem e provavelmente é motivado por roubar informações de empresas-alvo.

O ataque Palmerworm é semelhante ao ransomware padrão em que os ladrões roubam seus dados e pedem um resgate para bloquear a liberação de seus dados para o público. Nesse caso, a diferença é que os invasores já veem valor nos seus dados e sabem como monetizá-los sem pedir resgate. Um ataque dessa natureza pode durar indefinidamente se não for detectado.

O SecureCircle não impede que os invasores instalem malware e exfiltrem dados da empresa. Existem soluções de End Point Detection and Response (EDR) que evitarão ataques suspeitos. Uma das vítimas conhecidas foi capaz de detectar o ataque em dois dias com a segurança adequada no local.

O SecureCircle protegerá seus dados para que seus dados internos confidenciais não sejam acessíveis por invasores ou qualquer pessoa no público caso os arquivos sejam liberados. Os dados são protegidos de forma persistente em todos os momentos, inclusive em repouso, em trânsito e em uso. Mesmo se os arquivos forem transferidos para fora da empresa, usuários não autorizados nunca acessarão os dados criptografados.

No caso do Palmerworm, os invasores usaram aplicativos típicos para reconhecimento, compactação e transferência remota. WinRAR foi usado para compactar dados para torná-los mais fáceis de transferir. Putty foi usado para abrir conexões remotas e transferir os dados. Com o SecureCircle, esses aplicativos não teriam permissão para acessar os dados criptografados nos arquivos por padrão. Esses aplicativos normalmente movem dados. Aplicativos semelhantes, como clientes de e-mail e navegadores da web, também não teriam permissão para ler os dados protegidos. Os aplicativos que não estão habilitados para visualizar dados criptografados só podem mover dados criptografados. Aplicativos como o Excel teriam permissão para ler os dados seguros. O SecureCircle pode fornecer permissões granulares além de dispositivos e usuários. O SecureCircle também pode autorizar o acesso a dados seguros por aplicativo e rede.

Outro benefício significativo do SecureCircle é o tempo rápido de implantação. O SecureCircle é transparente para os usuários finais e não altera o fluxo de trabalho do usuário ou da empresa, ao contrário de outras soluções de segurança. Sem afetar os usuários, as empresas podem proteger todos os seus dados por padrão, em vez de selecionar apenas os dados mais importantes. Por não ter que descobrir ou classificar dados, as empresas implementam o SecureCircle rapidamente, definindo fontes de dados como aplicativos SaaS, servidores de arquivos ou aplicativos específicos em dispositivos de usuário, como CAD, Adobe ou aplicativos de código-fonte.

SecureCircle ajuda a eliminar violações de dados de ataques externos maliciosos, como Palmerworm e insiders maliciosos e acidentais.

Prevenção de espionagem de Palmerworm