Grupos criminosos em parceria e ciberataque “sem querer” se destacaram em janeiro, revela ISH Tecnologia
6 de fevereiro de 2023A ISH Tecnologia divulga um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais e avaliação de riscos de janeiro
Empresa lista mensalmente as principais ameaças e novidades encontradas por sua equipe.
A ISH Tecnologia, empresa de capital 100% nacional, líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas, divulga um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de janeiro.
No primeiro mês do ano, o destaque ficou por conta de um curioso caso de um ciberataque que atingiu um alvo “indevido”, além de alertas para grupos criminosos que estão operando juntos e compartilhando estratégias de ataque.
Ataque cibernético “arrependido” e “honra entre ladrões”
O grupo conhecido como LockBit é um dos mais notórios de todo o mundo, especialmente devido a seus grandes ataques cibernéticos e sua operação como Ransomware as a Service (RaaS), no qual os afiliados utilizam ferramentas de outros ransomwares já desenvolvidos para executar ataques.
Recentemente, no entanto, o grupo foi notícia por um motivo mais “nobre”. Ao se dar conta de que um de seus últimos ataques havia atingido a instituição canadense SickKids, destinada ao cuidado médico de crianças, o grupo, em comunicado oficial, revelou ter devolvido gratuitamente os dados roubados, e expulsado o hacker responsável de seu quadro de afiliados.
Interessantemente, o grupo possui uma espécie de “manual”, no qual proíbe, por exemplo, ataques a infraestruturas críticas (como usinas nucleares), organizações sem fins lucrativos e países pertencentes à antiga União Soviética.
No caso de instituições de Saúde, a análise para “liberação” do ataque é um pouco mais minuciosa, e leva em conta vários fatores.
Industroyer2
Ao contrário do LockBit, trata-se de um malware que, conforme o nome indica, prioriza o setor industrial para seus ataques. Recentemente, atingiu um fornecedor de energia ucraniano.
Conforme revela a equipe de inteligência da ISH, o Industroyer2 é capaz de controlar diretamente interruptores e disjuntores de subestações de eletricidade.
Para isso, utiliza protocolos de comunicação industrial utilizados mundialmente em infraestruturas de fornecimento de energia, sistemas de controle de transporte, e outros de infraestrutura crítica, como água e gás.
Trata-se de um malware modular, ou seja, que se utiliza de componentes de outros malwares. O que o difere é o uso de quatro componentes projetados para obter controle direto dos interruptores e disjuntores em uma subestação de distribuição de eletricidade, o que pode causar a paralização total de distribuição de energia para várias cidades por exemplo.
FIN7
Outro grupo cibercriminoso ativo. Este grupo é notório por três motivos: implementação de meios de acesso não documentadas que permitem acesso a cadeias de suprimentos de softwares, distribuição de pen drives maliciosos, e cooperação com outros grupos. Entre eles está o DarkSide, responsável pelo ataque ao maior oleoduto dos Estados Unidos em 2021.
O FIN7 foi relacionado à campanha de espionagem digital conhecida como “Carbanak”, no qual interagiu com outros grupos, como LockBit, REvil e Maze.
Teria ainda reunido uma equipe de hackers para criar empresas falsas de Segurança da Informação para induzir pesquisadores a executarem ataques de ransomware.
Além dos ransomwares (implementados em sua maioria por duas vulnerabilidades conhecidas do Microsoft Exchange, “ProxyShell” e “ProxyLogon”), observou-se que o grupo também realiza ataques por meio de engenharia social com documentos maliciosos em e-mail, compra ou venda de credenciais roubadas em mercados clandestinos.
OWASSRF
Trata-se de um método de exploração, que consiste na exploração de duas vulnerabilidades que permitem execuções remotas no acesso via web do Outlook.
Esse novo método ignora as mitigações já disponibilizadas pela Microsoft em resposta ao “ProxyNotShell”, outra vulnerabilidade encontrada.
A inteligência revela também que os agentes de ameaça executam códigos legítimos dos programas Plink e AnyDesk para manter o acesso, e utilizam técnicas anti-forense do Microsoft Exchange para manterem sua atividade oculta.
Sobre a ISH
A ISH Tecnologia, fundada em 1996, é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas.
Ocupa a 34ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert.
Com mais de 800 profissionais especializados, tem entre seus clientes algumas das maiores empresas do Brasil, incluindo bancos, fintechs, instituições financeiras, varejistas, atacadistas, empresas da área de saúde e órgãos públicos.
A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.
Principais Práticas e Soluções de Cibersegurança
ISH Tecnologia explica como é feita a venda de Bilhões de credenciais roubadas em sites clandestinos
Grupos de ransomware seguem como principal ameaça cibernética, revela ISH Tecnologia
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.