Marchar 2025 viu uma evolução significativa nas táticas de ameaças cibernéticas, com grupos de ransomware adotando novas técnicas e expandindo suas operações. Pesquisadores de segurança identificaram várias ameaças de alto impacto este mês, incluindo a mudança de um grupo de espionagem corporativa para ransomware, Novas ferramentas de evasão Edr, Ataques sofisticados do estado-nação, e campanhas de phishing enganosas direcionando negócios. Esta análise abrangente cobre os desenvolvimentos de segurança cibernética mais significativos que os profissionais de segurança e empresas devem estar cientes.
Fonte: Analisou dados de Unidade de pesquisa de ameaças Acronis Combinado com avaliações de impacto do setor
Redcurl evolui: O Grupo de Espionagem Corporativa lança a primeira campanha de ransomware com QWCrypt
Em março 26, 2025, Pesquisadores de segurança identificaram que o notório grupo de hackers Redcurl (Também conhecido como Terra Kapre e Lobo Vermelho) mudou de suas atividades tradicionais de espionagem corporativa para implantar ransomware pela primeira vez. Este pivô estratégico marca uma evolução significativa nas táticas do grupo, técnicas, e procedimentos (TTPS).
Análise técnica de Ransomware QWCrypt
A tensão de ransomware recém -identificada, Nomeado QWCrypt, especificamente tem como alvo máquinas virtuais, tornando -o particularmente perigoso para organizações com infraestrutura virtualizada. A cadeia de ataques de malware começa com e-mails sofisticados de phishing de lança contendo iscas com temas de RH. Esses e -mails fornecem arquivos PDFs e ISO maliciosos que descendem malware por meio de um legítimo executável da Adobe, Explorando os caminhos de aplicativos confiáveis para evitar a detecção.
| Fase de ataque | Detalhes técnicos |
|---|---|
| Acesso inicial | E-mails de spear-phishing com iscas com temas de RH contendo arquivos maliciosos de PDFs e ISO |
| Execução | Malware lateral por meio de legítimo adobe executável |
| Persistência | Modificações de registro e tarefas programadas criadas com privilégios do sistema |
| Movimento lateral | Roubo de credencial e exploração de vulnerabilidades não patches |
| Impacto | Criptografia de máquinas virtuais, Tornando infraestruturas inteiras inoperante |
O design do ransomware parece imitar elementos de grupos estabelecidos como Lockbit e Hardbit, potencialmente confundir os esforços de atribuição. Notavelmente, Os pesquisadores não identificaram um local de vazamento dedicado associado a esses ataques, levantar questões sobre se a demanda de resgate é genuína ou se a implantação de ransomware serve como uma distração das atividades tradicionais de espionagem do grupo.
Alvos e distribuição geográfica
Redcurl tem historicamente as organizações no Canadá, Alemanha, Noruega, o Reino Unido, e os Estados Unidos. A mudança do grupo para operações de ransomware potencialmente expande seu perfil de ameaça do roubo de dados para a interrupção operacional nessas regiões.
EdrkillShifter: A ferramenta de evasão de segurança do Ransomhub vincula vários grupos de crime cibernético
Em um desenvolvimento significativo rastreado ao longo de março, Os pesquisadores de segurança descobriram conexões entre três grupos de crime cibernético separados através do uso de uma ferramenta de evasão de segurança comum chamada EdrkillShifter. Esta ferramenta, Originalmente desenvolvido para afiliadas do ransomhub ransomware-como um serviço (Raas) operação, Explora motoristas vulneráveis para desativar a detecção e resposta de pontos finais (Edr) software.
Recursos de ferramenta e detalhes técnicos
EdrkillShifter representa um avançado “Traga seu próprio motorista vulnerável” (Traga sua própria vida) abordagem para desativar as defesas de segurança. A ferramenta tem como alvo drivers de sistema legítimos, mas vulneráveis, Explorando -os para encerrar medidas de proteção dentro do sistema operacional. Quando implantado com sucesso, Ele efetivamente cega as ferramentas de segurança para atividades maliciosas subsequentes.
Um ator de ameaça recém -identificado, Apelido Quadswitcher, foi observado usando o EdrkillShifter em ataques atribuídos a vários grupos de ransomware, Incluindo:
- Ransomhub
- Jogue Ransomware
- Ransomware de Medusa
- Ransomware de Bianlian
Os pesquisadores confirmaram a conexão entre esses grupos analisando amostras compartilhadas de edrkillshifter e infraestrutura de comando e controle, demonstrando como as ferramentas estão sendo compartilhadas em diferentes operações de ransomware.
Recomendações de defesa
Como esses ataques requerem acesso administrativo, As organizações podem implementar várias medidas preventivas:
- Implementar a lista de bloqueios de driver para drivers vulneráveis conhecidos
- Use o recurso Lista de bloco de driver do Windows Defender para proteção
- Monitore para eventos de carregamento do motorista, particularmente aqueles associados a ferramentas de terceiros
- Implante soluções EDR avançadas que podem detectar tentativas de desativar o software de segurança
- Implementar fortes controles de acesso para impedir que os invasores obtenham privilégios administrativos
A ascensão de Edr Killers destaca uma tendência preocupante em táticas de ransomware, À medida que os atores de ameaças se adaptam continuamente para ignorar as defesas de segurança cada vez mais sofisticadas.
Grupo chinês Apt Famousparrow evolui o kit de ferramentas de ataque com shadowpad
Pesquisadores de segurança identificaram ataques direcionados contra um EUA. Grupo de Comércio e um Instituto de Pesquisa Mexicana atribuído à ameaça persistente avançada chinesa (Apt) Grupo Famousparrow. A campanha, detectado pela primeira vez no início de março 2025, Envolve a implantação do backdoor Sparrowdoor do grupo ao lado do malware ShadowPad - marcando a primeira instância observada de FamousParrow usando esta ferramenta específica.
Detalhes técnicos do ataque
A análise da campanha revelou duas novas versões de Sparrowdoor, incluindo uma variante modular significativamente aprimorada com recursos de execução de comando aprimorados. A sequência de ataque segue um padrão familiar para os atores do Estado-nação:
- Acesso inicial: Exploração de vulnerabilidades desatualizadas do Windows Server e Microsoft Exchange Server
- Persistência: Implantação de um shell sofisticado para manter o acesso
- Entrega da carga útil: Instalação de Sparrowdoor Backdoor e Malware Shadowpad
A versão modular do Sparrowdoor suporta vários recursos avançados, Incluindo:
- Tecla registro para roubar roubo de credencial
- Transferência de arquivos para exfiltração de dados
- Manipulação do processo para manter furtividade
- Captura remota de desktop para coleta de inteligência visual
ShadowPad, Um backdoor modular comumente associado a atores de ameaças patrocinados pelo estado chinês, expande significativamente as capacidades de Famousparrow, sugerindo colaboração em potencial ou compartilhamento de ferramentas entre grupos apt chineses.
Aviso do FBI: Conversores de arquivos falsos roubando informações e implantando ransomware
O escritório de campo do FBI Denver emitiu um aviso urgente depois de observar um aumento de relatos de conversores de documentos on -line falsos sendo usados para roubar informações confidenciais e implantar ransomware. Este aviso, emitido em março 20, 2025, destaca uma tendência preocupante direcionada aos usuários pessoais e comerciais.
Como funciona o ataque
Os cibercriminosos criam sites enganosos que afirmam fornecer serviços gratuitos de conversão de documentos, mas ocultam intenções maliciosas:
- Os usuários que procuram ferramentas de conversão de documentos encontram esses sites, Freqüentemente promovido através do Google Ads
- Os sites parecem legítimos e podem realmente fornecer a funcionalidade de conversão prometida
- Quando os usuários carregam documentos para conversão, Os sites extraem informações confidenciais do conteúdo do arquivo
- Os arquivos convertidos retornados contêm malware incorporado que estabelece acesso remoto
- Em casos mais graves, Ransomware é implantado, Criptografar os arquivos da vítima
Os pesquisadores identificaram vários indicadores que ajudam a identificar esses sites de conversor fraudulento:
| Sinal de aviso | Detalhes |
|---|---|
| Idade do domínio | Normalmente registrado no passado 30 dias |
| política de Privacidade | Informações de privacidade ausentes ou extremamente vagas |
| Informações de contato | Nenhum detalhe legítimo de contato comercial |
| Certificado SSL | Frequentemente usando certificados gratuitos com validação mínima |
| Design de sites | Clone de serviços legítimos com pequenas modificações |
O malware entregue através desses serviços pode extrair uma ampla gama de informações confidenciais, incluindo nomes, senhas, Sementes de criptomoeda, e credenciais bancárias, levando a perdas financeiras significativas para as vítimas.
Prevenção de ataques de conversor falso
Proteger contra essas ameaças, O FBI recomenda várias medidas preventivas:
- Use apenas estabelecido, Ferramentas e serviços de conversão de arquivos respeitáveis
- Instale um software de segurança abrangente que pode identificar sites maliciosos
- Verifique a legitimidade do site antes de enviar documentos confidenciais
- Considere usar ferramentas de conversão offline ao lidar com informações confidenciais
- Backup regularmente arquivos críticos para permitir a recuperação em caso de ataque de ransomware
Para empresas e indivíduos que já foram vítimas desses golpes, um prompt Processo de remoção de malware é essencial para mitigar potenciais danos.
Profissionais de SEO direcionados pela sofisticada campanha de phishing
Uma campanha de phishing recém -identificada está direcionando especificamente profissionais de SEO usando anúncios Fake SemRush Google projetados para roubar credenciais da conta do Google. Semrush, Uma plataforma de SaaS popular que fornece ferramentas para SEO, publicidade online, e marketing de conteúdo, está sendo representado nesta campanha altamente direcionada.
Detalhes e objetivos da campanha
Analistas de segurança acreditam que um grupo de ameaças brasileiras está por trás desta campanha, O que pretende capturar o Google Ads explica o lançamento de mais ataques de malvertismo. A operação demonstra uma compreensão sofisticada do ecossistema de marketing digital:
- Os atacantes criam sites de phishing convincentes imitando a interface de Semrush
- Esses sites usam nomes de domínio semelhantes ao SEMRush, mas com diferentes domínios de nível superior
- As vítimas são forçadas a autenticar via “Faça login com o Google” funcionalidade
- Quando as credenciais são inseridas, Os atacantes ganham acesso à conta do Google da vítima
- Esse acesso permite o roubo de dados comerciais sensíveis do Google Analytics e do Google Search Console
Em um desenvolvimento relacionado, Outra campanha de phishing em andamento é alavancar anúncios falsos Deepseek nos resultados da pesquisa do Google para entregar o Heracles MSIL Trojan, Um malware de roubo de informações direcionando carteiras de criptomoeda. Esta campanha usa resultados de pesquisa do Google patrocinados para direcionar as vítimas para sites maliciosos que distribuem o Infotealer.
Impacto e prevenção da indústria
Essas campanhas de phishing destacam a natureza em evolução dos ataques direcionados contra grupos profissionais específicos. Os profissionais de SEO e marketing digital devem implementar medidas de segurança adicionais, Incluindo:
- Ativando a autenticação de vários fatores em todas as contas do Google
- Verificando cuidadosamente o URL das páginas de login antes de inserir credenciais
- Usando gerentes de senha com recursos de detecção de phishing
- Sendo cético em relação aos anúncios do Google para serviços de software, Mesmo quando eles aparecem no topo dos resultados da pesquisa
- Implementando treinamento de conscientização sobre segurança em toda a empresa sobre essas ameaças específicas
As organizações também devem considerar a implementação soluções de segurança abrangentes Isso pode detectar e bloquear tentativas de phishing e downloads de malware automaticamente.
Defesa coordenada: Respondendo ao cenário de ameaças em evolução
Como essas ameaças demonstram, As táticas cibercriminais continuam a evoluir em sofisticação e impacto. As organizações devem adotar uma abordagem de segurança de várias camadas que inclua:
- Gerenciamento de vulnerabilidades: Mantenha um inventário atualizado de sistemas e implemente patches regulares, particularmente para aplicativos voltados para a Internet como o Microsoft Exchange.
- Segurança por e -mail: Implante soluções avançadas de filtragem de email para detectar e bloquear tentativas sofisticadas de phishing, especialmente aqueles que usam iscas com temas de RH.
- Soluções EDR/XDR: Implementar plataformas modernas de proteção de terminais que podem detectar e responder a tentativas de desativar as ferramentas de segurança.
- Conscientização sobre segurança: Realizar treinamento regular para funcionários, com foco especial em reconhecer tentativas de phishing e sites suspeitos.
- Planejamento de resposta a incidentes: Desenvolva e teste regularmente os procedimentos de resposta a incidentes para garantir uma rápida contenção e recuperação no caso de uma violação de segurança.
A convergência de operações de ransomware, Táticas do Estado-nação, E campanhas de phishing direcionadas cria um ambiente de segurança desafiador que requer medidas de vigilância e defesa proativa. Mantendo -se informado sobre ameaças emergentes e implementando controles de segurança apropriados, As organizações podem reduzir sua exposição ao risco nesta paisagem em evolução.
Para indivíduos e empresas preocupadas com possíveis infecções, Considere usar ferramentas como Removedor de Trojan Para digitalizar e eliminar malware que já tenha comprometido seus sistemas.