Últimas notícias

Fique informado

Trend Micro revela atividades do grupo TeamTNT em sua recente pesquisa

30 de agosto de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Levantamento mostra as ferramentas e técnicas utilizadas e o impacto das atividades maliciosas do grupo

A Trend Micro Brasil, realizou uma pesquisa detalhada sobre o TeamTNT, um dos mais persistentes grupos de hackers maliciosos, que iniciou uma série de campanhas em 2020 e início de 2021.

Rodrigo Garcia

A maioria dessas campanhas — embora variando as ferramentas, técnicas e finalidade — tinha como alvo ambientes em nuvem.

O TeamTNT vem atacando de alguma forma desde 2011, mas foi só em 2020 que o grupo começou a chamar a atenção. Em abril do ano passado, lançou uma campanha de curta duração com o tema Covid-19, escolhendo palavras relacionadas à pandemia para seus URLs de ataque.

Um mês depois, a Trend Micro mapeou uma entrada sobre como o TeamTNT estava mirando portas de daemon abertas do Docker, para distribuir a mineração de criptomoedas.

O grupo também provocou outra campanha, no final de 2020, implantando o TNTbotinger, um bot de IRC (Internet Relay Chat) com recursos de negação de serviço distribuído (DDoS). Este ano, focou ainda mais na nuvem, abrangendo diferentes serviços e softwares baseados em cloud”, comenta Rodrigo Garcia, diretor de Vendas da Trend Micro.


Rotinas de infecção e cargas


As rotinas de infecção do TeamTNT geralmente seguem um padrão, no qual o grupo faz o reconhecimento usando seu scanner para escolher as vítimas adequadas. Depois de reduzir seus alvos, ele verifica se há configurações erradas e outras falhas de segurança que podem ser exploradas, tais como:

  • Instâncias não seguras do Redis;
  • Vulnerabilidades de dispositivos de Internet das Coisas (IoT);
  • APIs de Docker expostas;
  • Credenciais vazadas;
  • Dispositivos acessíveis via Secure Shell (SSH).

Ao encontrar um sistema com falhas de segurança exploráveis, ele começa a entregar suas cargas, que incluem:

  • Roubo de credenciais;
  • Mineração de criptomoedas;
  • Bots IRC;
  • Scanners de redes locais;
  • Conchas reversas/vinculadas

O roubo de credenciais é muitas vezes um dos objetivos do grupo, se não o principal. O TeamTNT utiliza uma série de técnicas em suas rotinas de captação de credenciais, com scritps próprios que contêm funções projetadas para procurar credenciais de serviços e softwares específicos. Também implementa mecanismos de persistência em algumas de suas expedições, garantindo que o usuário selecionado esteja configurado para ser acessado por SSH. Isso é feito para criar um método de retorno ao sistema após a infecção. Em muitos casos, os invasores implantam suas próprios chaves públicas SSH.

O uso crescente de serviços, software e infraestrutura baseados em cloud tornou a nuvem um alvo atraente para grupos como o TeamTNT. Um roubo bem-sucedido de credenciais em nuvem ou uma rotina de mineração de criptomoedas acaba infectando todo o sistema e pode ter consequências de longo alcance em uma organização – especialmente em termos de interrupção operacional e até mesmo danos à reputação.

 “Nosso trabalho acompanhando as atividades do TeamTNT é para garantir um olhar mais atento para um grupo de hackers focado na nuvem. Temos como objetivo ajudar as empresas a entender como o grupo realiza suas atividades e oferecer insights e recomendações para evitar os ciberataques, finaliza Rodrigo Garcia.

Veja uma cópia completa do relatório, aqui.

Sobre a Trend Micro

A Trend Micro, líder global em cibersegurança, ajuda a tornar o mundo mais seguro quando o assunto é troca de informações digitais. Com décadas de experiência em segurança da informação, pesquisa global de ameaças e inovação contínua, a Trend Micro protege centenas de milhares de organizações e milhões de indivíduos com soluções para redes, dispositivos, sistemas em nuvem e endpoints. As plataformas da Trend Micro oferecem uma gama poderosa de técnicas avançadas de defesa contra ameaças otimizadas para ambientes Google, Microsoft e Amazon, possibilitando respostas mais rápidas e efetivas aos riscos cibernéticos. Com 7.000 colaboradores em 65 países, a Trend Micro permite que as organizações protejam e simplifiquem o seu mundo conectado.

Trend Micro abre nova turma de capacitação em cibersegurança

Trend Micro revela: 70% das equipes de cibersegurança estão emocionalmente sobrecarregadas

Ataques cibernéticos a e-mail baseados em nuvem disparam com a pandemia relata Trend Micro

Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!

22mai09:0018:00The Tech Summit 20241ª edição no dia 22 de maio no Palácio Tangará, em São Paulo. 09:00 - 18:00 PALÁCIO TANGARÁ, R. Dep. Laércio Corte, 1501 - São Paulo, SP