O futuro do Zero Trust e do SASE é agora! Assista sob demanda

fechar
fechar
  • Por que Netskope chevron

    Mudando a forma como a rede e a segurança trabalham juntas.

  • Nossos clientes chevron

    A Netskope atende a mais de 3.000 clientes em todo o mundo, incluindo mais de 25 das empresas da Fortune 100

  • Nossos parceiros chevron

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

O mais alto nível de Execução. A Visão mais avançada.

A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.

Obtenha o Relatório
A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.
Ajudamos nossos clientes a estarem prontos para tudo

See our customers
Woman smiling with glasses looking out window
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Group of diverse young professionals smiling
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Introducing the Netskope One Platform

Netskope One is a cloud-native platform that offers converged security and networking services to enable your SASE and zero trust transformation.

Saiba mais sobre o Netskope One
Abstract with blue lighting
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vídeo da Netskope
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Boat driving through open sea
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog chevron

    Learn how Netskope enables security and networking transformation through security service edge (SSE)

  • Events and Workshops chevron

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined chevron

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Eleições, desinformação e segurança
Este episódio analisa os aspectos da segurança eleitoral relacionados ao registro de eleitores e aos controles físicos nos locais de votação.

Reproduzir o podcast
Blog: Eleições, desinformação e segurança
Últimos blogs

Read how Netskope can enable the Zero Trust and SASE journey through security service edge (SSE) capabilities.

Leia o Blog
Sunrise and cloudy sky
SASE Week 2023: Sua jornada SASE começa agora!

Replay das sessões da quarta SASE Week anual.

Explorar sessões
SASE Week 2023
O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Saiba mais sobre o Security Service Edge
Four-way roundabout
  • Empresa chevron

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Liderança chevron

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Customer Solutions chevron

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e certificação chevron

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Group of young professionals working

Spider: A New Thread in the Ransomware Web

Dec 11 2017
Tags
Cloud Threats
Netskope Threat Research Labs
Ransomware

Netskope Threat Research Labs has detected new ransomware named Spider propagating in a mid-scale campaign. This ongoing campaign, identified on the 10th December,  uses decoy Office documents which usually arrive as email attachments. These attachments are auto-synced to the enterprise cloud storage and collaborations apps. Netskope Threat Protection detects the decoy document as “VB:Trojan.VBA.Agent.QP” and the downloaded payload as “Trojan.GenericKD.12668779” and “Trojan.GenericKD.6290916”.

Attack Topology

The campaign’s attack vector begins with an Office document written in the Bosnian language which in all probability indicates that the threat actor is targeting or interested in the Bosnia and Herzegovina region. The decoy document we observed is shown in Figure 1.

Figure 1: Decoy Office Word document sent in the Spider Campaign.

The decoy Office document contains an obfuscated macro code, which launches the PowerShell to download the malicious payload as shown in Figure 2.

Figure 2: PowerShell downloading payloads from yourjavascript.com  

The payloads are Base64 encoded and hosted on the website – ‘yourjavascript.com,’ which is a free JavaScript hosting website.

Analysis of the payloads

After downloading the payloads, the PowerShell script decodes the Base64 string and performs XOR operation with the key ‘AlberTI’ to decode the final payloads, which is later saved into executable (.exe) files. The decoded payloads named ‘dec.exe’ and ‘enc.exe’ compiled in .NET  are copied to the ‘%APPDATA% /Spider’ directory.  

Spider ransomware

The file ‘enc.exe’ is the ransomware encryptor, while ‘dec.exe’ works as the Decryptor.Dec.exe displays the user interface for warning message and to decrypt the files using a decryption key. Spider ransomware also copies two text files ‘files.txt’ and ‘id.txt’ respectively inside the ‘%APPDATA% /Spider’ directory along with the executables as shown in Figure 3.

Figure 3: Spider ransomware dropped files

PowerShell launches the ransomware decryptor, dec.exe with ‘spider’ argument and enc.exe file with ‘spider ktn 100’ arguments. Spider ransomware decryptor monitors the system processes and prevents opening of windows utility tools like taskmgr, procexp, msconfig, regedit, cmd, outlook, winword, excel, and msaccess as shown in Figure 4.

Figure 4: Spider ransomware anti-analysis tools checks

The payload ‘enc.exe’ then encrypts the user’s files and adds the ‘.spider’ extension as shown in Figure 5.

Figure 5: Spider ransomware encrypted  files with .spider extension

Spider ransomware also maintains the list of files that it has encrypted in the ‘files.txt’ file under the Spider folder as shown in Figure 6.

Figure 6: List of files that Spider ransomware has encrypted

Spider ransomware also copies a signature file ‘5p1d3r’ to the Spider folder. The content of the file is K.T.N Cr3w, which is most likely attributed to the creators of Spider ransomware as shown in Figure 7.

Figure 7:  Spider ransomware signature file

Once Spider ransomware encrypts the files, a warning message is displayed. The warning message also provides language translation into its user interface as shown in Figure 8.

Figure 8: Warning message with language translation interface of Spider ransomware

The warning message provides a descriptive message on how to decrypt files as shown in Figure 9.

Figure 9: Decrypt file message of Spider ransomware.

It also provides a help section which contains the links and references to the resources needed to make the payment to the attacker as shown in Figure 10.

Figure 10: Help resources and ID required to get the decryption key of Spider ransomware

The interface for decrypting files once the decryption key is obtained is shown in Figure 11.

Figure 11: Decrypt files interface of Spider ransomware

Further research uncovered a video uploaded on vid.me as shown in Figure 12.

Figure 12. Video guide of Spider ransomware posted at https://vid[.]me/CGyDc

The video provides instructions to decrypt victims files. We suspect that the video was most likely uploaded by the threat actor group of Spider. Please note that the service vid.me itself will cease to exist on the 15th December.

Conclusão

Ransomware continues to evolve and prevail as a top threat to all verticals in many organizations. The addition of Spider ransomware as a new cob in the increasing ransomware web is a classic example. We continue to see an increase of decoy Office documents as an attack vector in spreading ransomware like GlobeImposter tied to several active and ongoing campaigns. As ransomware continues to evolve, administrators should educate employees about the impact of ransomware and ensure the protection of the organization’s data by making a regular backup of critical data. In addition to disabling macros by default, users must also be cautious of documents that only contain a message to enable macros to view the contents and also not to execute unsigned macros and macros from untrusted sources. Netskope Threat Research Labs will continue to monitor ransomware campaigns and provide updates as the campaign evolves.

General Recommendations

Netskope recommends the following to combat cloud malware and threats:

  • Detect and remediate cloud threats using a threat-aware CASB solution like Netskope and deploy policies on usage of unsanctioned services as well as unsanctioned instances of sanctioned cloud services. Sample policies are as follows:
    • Scan all uploads from unmanaged devices to sanctioned cloud applications for malware
    • Scan all uploads from remote devices to sanctioned cloud applications for malware
    • Scan all downloads from unsanctioned cloud applications for malware
    • Scan all downloads from unsanctioned instances of sanctioned cloud applications for malware
  • Enforce quarantine/block actions on malware detection to reduce user impact
  • Block un-approved instances of sanctioned or well-known cloud apps, to prevent attackers from exploiting user trust in the cloud. While this seems a little restrictive, it significantly reduces the risk of malware infiltration attempts via cloud
  • Enforce DLP policies to control files and data en route to or from your corporate environment
  • Regularly back up and turn on versioning for critical content in cloud services
  • Enable the “View known file extensions” option on Windows machines
  • Warn users to avoid executing any file unless they are very sure that they are benign
  • Warn users against opening untrusted attachments, regardless of their extensions or filenames
  • Warn users to avoid executing unsigned macros and macros from an untrusted source, unless they are very sure that they are benign
  • Enterprise users should always keep their systems and Antivirus updated with the latest releases and patches.

Stay informed!

Subscribe for the latest from the Netskope Blog