book_icon

Trend Micro revela como age a gangue TeamTNT

As rotinas de infecção do grupo geralmente seguem um padrão, com uso de seu scanner para escolher as vítimas adequadas

Trend Micro revela como age a gangue TeamTNT

A Trend Micro, fornecedora global de soluções de cibersegurança, realizou uma pesquisa sobre o TeamTNT, um dos mais persistentes grupos de hackers maliciosos, que iniciou uma série de campanhas em 2020 e início de 2021. A maioria dessas campanhas — embora variando as ferramentas, técnicas e finalidade — tinha como alvo ambientes em Nuvem.

O TeamTNT vem atacando de alguma forma desde 2011, mas foi só em 2020 que o grupo começou a chamar a atenção. Em abril do ano passado, lançou uma campanha de curta duração com o tema Covid-19, escolhendo palavras relacionadas à pandemia para suas URLs de ataque. “Um mês depois, a Trend Micro mapeou uma entrada sobre como o TeamTNT estava mirando portas de daemon abertas do Docker, para distribuir a mineração de criptomoedas. O grupo também provocou outra campanha, no final de 2020, com base no TNTbotinger, um bot de IRC (Internet Relay Chat) com recursos de Negação de Serviço Distribuído (DDoS). Este ano, focou ainda mais na Nuvem, abrangendo diferentes serviços e softwares baseados em Cloud”, comenta Rodrigo Garcia, diretor de Vendas da Trend Micro.

Um roubo bem-sucedido de credenciais em Nuvem ou uma rotina de mineração de criptomoedas acaba infectando todo o sistema e pode ter consequências de longo alcance em uma organização 

As rotinas de infecção do TeamTNT geralmente seguem um padrão, no qual o grupo faz o reconhecimento usando seu scanner para escolher as vítimas adequadas. Depois de reduzir seus alvos, ele verifica se há configurações erradas e outras falhas de segurança, que podem ser exploradas, tais como:

• Instâncias não seguras do Redis;
• Vulnerabilidades de dispositivos de Internet das Coisas (IoT);
• APIs de Docker expostas;
• Credenciais vazadas;
• Dispositivos acessíveis via Secure Shell (SSH).

Ao encontrar um sistema com falhas de segurança exploráveis, ele começa a entregar suas cargas, que incluem:

• Roubo de credenciais;
• Mineração de criptomoedas;
• Bots IRC;
• Scanners de redes locais;
• Conchas reversas/vinculadas

O roubo de credenciais é muitas vezes um dos objetivos do grupo, se não o principal. O TeamTNT utiliza uma série de técnicas em suas rotinas de captação de credenciais, com scritps próprios que contêm funções projetadas para procurar credenciais de serviços e softwares específicos. Também implementa mecanismos de persistência em algumas de suas expedições, garantindo que o usuário selecionado esteja configurado para ser acessado por SSH. Isso é feito para criar um método de retorno ao sistema após a infecção. Em muitos casos, os invasores implantam suas próprios chaves públicas SSH.

O uso crescente de serviços, software e infraestrutura baseados em Cloud tornou a Nuvem um alvo atraente para grupos como o TeamTNT. Um roubo bem-sucedido de credenciais em Nuvem ou uma rotina de mineração de criptomoedas acaba infectando todo o sistema e pode ter consequências de longo alcance em uma organização – especialmente em termos de interrupção operacional e até mesmo danos à reputação.

“Nosso trabalho acompanhando as atividades do TeamTNT é para garantir um olhar mais atento para um grupo de hackers focado na Nuvem. Temos como objetivo ajudar as empresas a entender como o grupo realiza suas atividades e oferecer insights e recomendações para evitar os ciberataques, finaliza Garcia.

Serviço
www.trendmicro.com

 

gangue TeamTNT

Trend Micro

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | GESTÃO

A doce ditadura da Governança de Dados

Leia nessa edição sobre carreira

CARREIRA

Profissões do futuro

Leia nessa edição sobre setorial | saúde

SETORIAL

Área pública: desafios e lucros

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

LEGISLAÇÃO

LGPD Ano Um: uma construção inacabada

Setembro | 2021 | #50 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento