Últimas notícias

Fique informado

Picus Labs e CLM analisam as cinco ciberameaças mais nocivas de novembro

16 de dezembro de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Threat Intelligence é a forma mais eficaz de responder rápida e prontamente às novas ciberameaças

Serviços de Threat Intelligence é primordial para acelerar o processo de identificação e reação contra ameaças cibernéticas desconhecidas

28 de julho de 2021

Thales apresenta nova edição do “Manual de Ciberameaças: o cibercrime organizado” Ouça

Especialistas apresentam o modus operandi dos cibercriminosos e as formas de combatê-los

21 de outubro de 2020

Pesquisa: Check Point destaca as ciberameaças relacionadas com o COVID-19

A pesquisa conjunta da empresa com a Dimensional Research indica que 71% dos profissionais de TI e segurança relatam um aumento.

8 de abril de 2020

Famílias de ciberameaças como malwares e campanhas de ransomware adotam diferentes estratégias para obter sucesso em suas investidas

Picus Labs e a CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, value-added distributor da Picus, listam as cinco principais ciberameaças que vitimaram milhares de organizações no mês passado. São elas: 

Agentes maliciosos, patrocinados pelo governo iraniano, de APT (Advanced Persistent Threat) implantaram um criptominerador e um coletor de credenciais em redes federais estadunidenses. 

ransomware Hive, que afetou mais de 1,3 mil empresas, causou um prejuízo de 100 milhões de dólares em pagamento de resgates.

Carregador de backdoor TONESHELL, cujos ataques foram impetrados pelo grupo Earth Preta, também conhecido como Mustang Panda e Bronze President, usam contas falsas do Google e do DropBox, com o uso de APT.

Nova variante do ransomware Koxic que, apesar de ter surgido na Coréia, perpetrou ataques em todo o mundo. O Koxic reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.

Malware Aurora, que surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto.

Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora era o infostealer número um usado pelos agentes maliciosos.

Francisco Camargo,CEO da CLM

Qualquer que seja o cenário, afirma o CEO da CLM, Francisco Camargo, para se prevenir destas e de outras ameaças é indispensável fazer a simulação e testar as defesas das empresas.

“Vale mencionar que, de acordo com um relatório da Picus Library divulgado esta semana, apesar de a maioria dos firewalls detectar e bloquear, por exemplo, ataques de SQLi com bastante facilidade. Pesquisas recentes mostraram que muitos fornecedores de firewalls de aplicativos da Web (WAF) não conseguiram bloquear ataques SQLi que exploram o JSON para entrega. A Picus Labs adicionou esse novo método de desvio de WAF para injeção de SQL à Picus Threat Library”, conta.

Informações detalhadas sobre as cinco ciberameaças

Para quem precisa de mais detalhes sobre essas cinco ameaças, vale conferir mais detalhes, inclusive as tabelas, cujas diversas ciberameaças relativas a esses ataques foram incluídas pela Picus em sua biblioteca.

1. Agentes de APTs atacaram o FCEB (AA22-320A), ciberameaças financiadas pelo Irã

Em 16 de novembro de 2022, a CISA (Cibersecurity & Infraestructure Security Agency) e o FBI emitiram um comunicado conjunto sobre a campanha de ataque desses agentes APT, que exploraram a vulnerabilidade não corrigida Log4Shell para acessar um servidor VMware Horizon, que pertence a uma organização do Poder Executivo Federal Civil (FCEB) dos Estados Unidos.

No acesso inicial, os cibercriminosos permitiam que diretórios específicos baixassem ferramentas maliciosas sem serem notados por verificações de vírus.

Depois, eles executavam um script do PowerShell para desabilitar o Windows Defender e baixaram arquivos e softwares maliciosos (minerador de criptografia XMRig) no sistema de destino, que posteriormente foram aproveitados para estabelecer persistência e usar o poder de computação da vítima para minerar criptomoedas.

Então, os atacantes se movem lateralmente no servidor VM Horizon comprometido para o host VMware VDI-KMS usando uma conta de usuário integrada do Windows em uma conexão RDP.

Mais tarde, eles transferiram algumas ferramentas para o host VID-KMS (Mimikatz, PsExec, ngrok) para atividades de pós-exploração.

Por fim, conseguiram ter controle total sobre todos os ativos associados ao domínio, incluindo o controlador de domínio.

Famílias de ciberameaças como malwares e campanhas de ransomware adotam diferentes estratégias – phishing, roubo de informações, criptominerador  – para obter sucesso em suas investidas

2. Ransomware Hive (AA22-321A)

Detentores do ransomware Hive utilizam diferentes técnicas de acesso inicial. No entanto, o Picus Labs observou que eles enviam e-mails de phishing com anexo malicioso, criados para explorar vulnerabilidades conhecidas em aplicativos voltados para o público, como Windows Exchange Servers.

Depois que o ponto de apoio é obtido, os agentes do Hive baixam binários maliciosos e um script ofuscado do Powershell, que faz parte da estrutura do Cobalt Strike, de seu servidor C2.

Ao comprometer o usuário interno mais poderoso do computador local, NT Authority, os atacantes despejam todos os hashes NTLM para alavancar um ataque Pass-the-Hash (PtH).

Usando as credenciais de conta válidas roubadas, os criminosos enviam solicitações de conexão RDP (Remote Desktop Protocol) para muitos ativos internos para ver a quais bancos de dados eles têm acesso.

Suspeita-se que isso tenha sido feito para verificar a expansão de seu acesso e descobrir quais informações confidenciais eles podem exfiltrar antes do início da criptografia.

Em seguida, tendo uma lista de todos os objetos de domínio, os invasores executam um script em lote para executar ping em todos os itens da lista e gravar aqueles que respondem a um arquivo.Esses arquivos são criptografados posteriormente para maior impacto.

“De fato, Espionagem cibernética explorando o Google Drive para infraestrutura C2 foi reportada por outras empresas expoentes em cibersegurança, como a Netskope”, menciona Camargo.

A Picus Labs incluiu novas simulações de ataque à Picus Threat Library para novos malwares usados pelos agentes do Hive.

Famílias de ciberameaças como malwares e campanhas de ransomware adotam diferentes estratégias – phishing, roubo de informações, criptominerador  – para obter sucesso em suas investidas

3. Carregador de backdoor TONESHELL

Seus ataques foram impetrados pelo grupo, que usa APT, o Earth Preta, também conhecido como Mustang Panda e Bronze President.

Estes crackers usam contas falsas do Google e do DropBox, enviando spearphishing com um link malicioso do Google Drive ou DropBox anexado a eles para implantar o malware Hive.

A partir de março de 2022, começamos a ver uma nova atividade de ciberespionagem”, diz o relatório do Picus Labs.

De acordo com pesquisadores de segurança, esta campanha de ataque se origina de um agente de Ameaça Persistente Avançada (APT).

A análise mostra que os anexos contêm arquivos maliciosos (rar/zip/jar), como imagens (.png), documentos do Word (.doc) e executáveis legítimos (.exe), que têm nomes de aparência benigna, o que leva as vítimas a pensar que vêm de fontes governamentais. Mas, na realidade, acionam a execução das seguintes famílias de malware: TONEINS, TONESHELL e PUBLOAD.

Entre esses três malwares, o TONESHELL é o backdoor usado principalmente pelo Earth Preta em suas campanhas direcionadas de phishing.

O TONESHELL é carregado e decodificado no sistema de destino por meio do carregador de shellcode, chamado Backdoor.Win32.TONESHELL.

Análise mais aprofundada mostra que o código da carga TONESHELL contém várias funções com strings autoexplicativas usadas para upload, download e execução de arquivos, movimento lateral e troca de dados na intranet por meio do OnePipeShell, shell unidirecional sobre um pipe nomeado e funções TwoPipeShell.

Depois que o backdoor é instalado e a comunicação C2 criptografada é estabelecida, os atacantes exfiltram informações confidenciais como parte de seu método de dupla extorsão.

Picus Labs já havia incluído as ameaças para o Mustang Panda. Agora, incluiu ao Picus Threat Library as seguintes ameaças para TONESHELL backdoor, TONEINS malware dropper e PUBLOAD malware downloader:

4. Ransomware Koxic– Novas Ciberameaças 

Apesar de ter surgido na Coréia, o Koxic perpetrou ataques em todo o mundo. Ele reconfigura o sistema, desabilita os recursos de monitoramento em tempo real, inclusive de comportamento, impedindo a detecção do Windows Defender.

Ao ser executado, o ransomware Koxic inicia uma fase de descoberta para recuperar as informações atuais do sistema.

Depois, ele reconfigura a expiração do RDP ao máximo para manter uma sessão de área de trabalho remota mais estendida e desabilita os recursos de monitoramento em tempo real e de comportamento do Windows Defender para evitar a detecção e impedir que os sistemas de defesa enviem notificações de alerta aos sistemas SIEM.

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxDisconnectionTime HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxIdleTime

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring HKCU\Software\Policies\Microsoft\Windows\Explorer\DisableNotificationCenter

O ransomware continua seu fluxo, excluindo as cópias de sombra do volume e desativando os serviços de banco de dados como MongoDB, SQLWriter e MySQL.

Então, o malware começa a fazer uma lista de todos os alvos que podem ser criptografados. Como um processo paralelo, trata-se de uma ameaça que percorre essa lista, criptografando cada item um a um.

A criptografia é realizada usando o algoritmo AES no modo CBC, onde o valor de valor de inicialização (IV) e a chave simétrica para o algoritmo AES são criptografados por um algoritmo de criptografia assimétrica, RSA.

A Picus Threat Library inclui as seguintes ameaças para o ransomware Koxic:

ciberameaça

5. Malware Aurora 

surgiu inicialmente como um botnet de Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto.

Em setembro, os pesquisadores de cibersegurança descobriram que ele havia se tornado um infostelear e, em novembro, a partir da análise de muitos servidores C2 ativos, descobriu-se que o Aurora havia se tornado o infostealer número um usado pelos agentes maliciosos.

“Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP”, detalha o relatório do Picus Labs, que já havia observado diferentes RATs (PoetRAT, FairFAX) usados na campanha de malware Aurora em 2021.

Em abril de 2022, o Aurora foi anunciado pela primeira vez em fóruns de hackers de língua russa e no canal Telegram como um botnet Malware-as-a-Service (MaaS) com recursos de roubo de dados e acesso remoto.

Em agosto de 2022, sua atividade quase desapareceu; sendo suspeito de que seus desenvolvedores pararam de vendê-lo e removeram seu código de repositórios clandestinos.

No entanto, em setembro de 2022, uma nova e grande atividade do Aurora chamou a atenção dos pesquisadores de segurança, revelando-se não como um botnet, mas como um “infostealer”.

Tornou-se tão popular que muitas equipes de grandes traficantes sugeriram seu uso. Em novembro de 2022, uma análise de muitos servidores C2 ativos mostrou que Aurora havia se tornado o infostealer número um usado por agentes hostis.

O Aurora usa principalmente a biblioteca lxn/win para obter informações relacionadas ao sistema, que dependem do WMIC. Os seguintes comandos wmic são executados no host infectado:

ciberameaças
Figure 11. File grabber functionality of Aurora infostealer 

Os dados são exfiltrados no formato JSON do sistema de destino para um Aurora C2 de propriedade do invasor, que escuta o tráfego de rede de entrada nas portas 9865 e 8081 por TCP.

Agora, a Picus Threat Library inclui as seguintes ameaças para o malware Aurora infostealer:

ciberameaças

Threat Intelligence é a forma mais eficaz de responder rápida e prontamente às novas ciberameaças

Thales apresenta nova edição do “Manual de Ciberameaças: o cibercrime organizado” Ouça

Ciberameaças: Especialistas apontaram principais soluções

27ago(ago 27)09:0028(ago 28)18:00CISO Forum 2024O encontro Premier para líderes visionários em Segurança da Informação e Cibersegurança09:00 - 18:00 (28)

Acompanhe também artigos sobre Criptoativos aqui no Crypto ID.

Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.