Guacamaya utiliza vulnerabilidades para fazer vítimas na América Latina, alerta Kaspersky
22 de novembro de 2022Para os ataques, eles se aproveitam de vulnerabilidades em servidores de e-mail para obter informações confidenciais, expor suas vítimas na imprensa e criar crises de reputação
Programas desatualizados são a porta de entrada do grupo e os alvos são empresas nos setores de mineração, petróleo, gás e órgãos governamentais. Saiba como se proteger
Uma investigação da Equipe Global de Pesquisa e Análise da Kaspersky revela que o grupo hacktivista autodenominado Guacamaya são criminosos latinos com uma agenda inicial voltada à defesa do meio ambiente, mas que oportunamente passaram a atacar também governos e órgãos militares com foco no Chile, Colômbia, Equador, Peru, Guatemala, México e Venezuela.
Para os ataques, eles se aproveitam de vulnerabilidades em servidores de e-mail para obter informações confidenciais, expor suas vítimas na imprensa e criar crises de reputação. Para se proteger, as organizações devem atualizar seus servidores.
O termo hacktivismo é usado para cibercriminosos que usam ataques cibernéticos para realizar ativismo político ou social na defesa de uma causa.
Na última década, foram registradas ações dos grupos Anonymous (2010-2015) que defendiam a liberdade digital, o LulzSec (2010-2011) que apenas buscavam fama e, recentemente, o LAPSU$ que tinha uma motivação financeira.
Apesar da roupagem “para um bem maior”, essas ações são ilegais e alguns grupos este mantra como um pretexto para realizar atos maliciosos — e o Guacamaya não é exceção.
O grupo Guacamaya explora vulnerabilidades nos servidores de e-mails (Exchange) para invadir redes de vítimas — elas são conhecidas como “ProxyShell/ProxyLogon” (CVE-2021-34473, CVE-2021-31206, CVE-2021-34523 e CVE-2021-31207) e também Zimbra2 (CVE 2022-27925).
Em seguida, eles criam backdoor para garantir acesso permanente à rede comprometida e, depois, usam ferramentas para roubar credenciais ou aumentar os privilégios de acesso dos usuários que eles já têm controle — com isso, os criminosos conseguem ter acesso a todas as contas de e-mails da organização atacada, além de poderem acessar as informações confidenciais contidas nelas.
Os alvos do grupo estão presentes principalmente no Chile, Colômbia, Equador, Peru, Guatemala, México e Venezuela. Inicialmente, eles atacaram setores de mineração, petróleo e gás, mas hoje focam em organizações militares e entidades governamentais em toda a América Latina.
“Após extrair todos os e-mails, o grupo passa a avaliar quais mensagens tem o potencial de gerar danos de reputação às vítimas. O passo seguinte é publicar tudo na internet e avisar a imprensa sobre o vazamento — assim o ataque passa a ter visibilidade pública. Esta exposição e posteriores crises criadas às organizações afetadas é o real prejuízo dos ataques hacktivistas”, explica Leandro Cuozzo, analista de segurança da Kaspersky na América Latina.
O relatório de inteligência (Threat Intelligence) da Kaspersky mostra ainda que as vulnerabilidades exploradas pelo Guacamaya em seus ataques foram identificadas em fevereiro de 2021 e posteriormente corrigidas em setembro do mesmo ano.
Porém, as atividades maliciosas do grupo se intensificaram em 2022 — o que permite concluir que as organizações não estão instalando os patches de correções nos sistemas — o que permitiria evitar os ataques recentes reportados neste ano.
Os especialistas da Kaspersky já identificaram também outros grupos criminosos explorando essas mesmas vulnerabilidades — o que significa que a uma vítima pode sofrer ataques de dois ou mais grupos ao mesmo tempo.
Além disso, é de conhecimento público a existência de novas vulnerabilidades nos servidores de e-mail — chamadas de “ProxyNotShell” (CVE-2022-41040 e CVE-2022-41082), porém não há evidências que o Guacamaya está explorando-as.
Outro relatório da Kaspersky que contém dados anônimos (de 2021) analisados pela Equipe Global de Resposta a Emergência (GERT) da empresa mostra que 53.6% dos ciberataques começam com a exploração de programas online desatualizados — em seguida aparecem o uso de contas comprometidas (que tiveram as credenciais roubadas) com 17,9% e o uso de e-mails maliciosos (para instalação de malware ou roubo de credenciais) com 14,3%.
Ele mostra ainda que 40% dos ataques usam ferramentas legítimas — o que mostra uma nova tendência na qual o uso de malware ocorre apenas nos estágios finais do ataque. No caso do Guacamaya, ele é usado para roubo (exfiltração) dos dados confidenciais.
“Em palavras mais simples, nossas conclusões mostram que as empresas deixam as portas abertas para que criminosos entrem. E, para evitar esses ataques, basta fechá-las, ou seja, aplicar as atualizações que estão disponíveis há mais de um ano. Apesar de entender o nível de criticidade que os e-mails representam para nossas vidas digitais atualmente e a dificuldade de aplicar as correções nesse ambiente, este é o único e mais eficaz método de impedir os ataques. Reitero ainda que é mandatório que empresas e governos mantenham os servidores Exchange atualizados, pois nada impede que os criminosos do Guacamaya passem a usar vulnerabilidades ainda desconhecidas para manter seu ativismo”, destaque Eduardo Chavarro, especialista em respostas a incidentes e membro da Equipe Global de Resposta a Incidentes da Kaspersky na América Latina.
Os detalhes técnicos e mais informações sobre a atuação do grupo estão disponíveis no relatório de inteligência preparado pela equipe de especialistas da Kaspersky, que está disponível para os assinantes do Portal de Inteligência da empresa.
A origem do nome Guacamaya
O nome Guacamaya tem ascendência maia e significa “arara” ou “papagaio de bico grosso”, animais que são encontrados em muitos países da América Latina — forte indício da origem do grupo. Além disso, as mensagens que o grupo posta estão em espanhol e usam palavras típicas do vocabulário presentes em comunidades indígenas da América Latina.
Somado às vítimas que estão presentes majoritariamente na região, a Kaspersky pode afirmar com alto grau de certeza que se trata de um grupo originário da América Latina.
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, as infraestruturas mais críticas, Governos e consumidores por todo o mundo.
O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de soluções e serviços de segurança especializados que visam combater as ameaças digitais mais sofisticadas e em permanente evolução.
Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 240.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.
AgentTesla assume o primeiro lugar nos rankings de malwares global e do Brasil
Gartner prevê sete tecnologias disruptivas que afetarão as vendas até 2027
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
