ISH Tecnologia revela as principais vulnerabilidades e ransomwares do primeiro semestre

A ISH Tecnologia, empresa nacional de cibersegurança, divulgou um relatório dos ransomwares e vulnerabilidades que mais tiveram sucesso ao atacar empresas no primeiro semestre de 2023. Ao todo, foram detectadas seis vulnerabilidades consideradas de pontuação crítica pelos especialistas, e cerca de 1.480 invasões de ransomware bem-sucedidas em domínios institucionais, sequestrando dados bancários, criptografando informações confidenciais entre outros diversos dados.

“Mesmo com algumas vulnerabilidades e ransomwares tendo sido descobertos em janeiro, fevereiro e março, eles não foram completamente erradicados. Na verdade, seus números apenas crescem, isso porque seus criadores lançam constantes atualizações que vão apenas tornando-os atacantes mais sólidos, com um leque de maneiras de invasão e uma gama de contra-ataque contra serviços de segurança cibernética”, disse Caique Barqueta, especialista em Inteligência de Ameaças da ISH Tecnologia.

Confira abaixo as vulnerabilidades e ransomwares que foram ficando cada vez mais potentes no primeiro semestre de 2023:

Vulnerabilidades

EoP (Outlook): é uma exploração de toque zero, o que significa que a falha de segurança requer baixa complexidade para abuso e não requer interação do usuário. O invasor envia uma mensagem para a vítima estendida com um caminho para um Server Message Block controlado pelo invasor remoto. Hospedado no servidor, a vulnerabilidade é explorada pelo invasor tendo a vítima visto a mensagem ou não.

PaperCut NG/MF: essa vulnerabilidade permite que os atacantes remotos ignorem a autenticação nas instalações afetadas do PaperCut. O problema resulta de controle de acesso impróprio. Um invasor pode aproveitar essa vulnerabilidade para ignorar a autenticação e executar um código arbitrário no sistema alvo, ou seja, resultando na infecção dos domínios e podendo haver instalações de diversos códigos que mudem completamente sua configuração.

MOVEit: o MOVEit Transfer, aplicativo de transferência de dados e configurações confidenciais de informações empresariais, possui uma vulnerabilidade de injeção de SQL em seu aplicativo web. Dependendo do mecanismo utilizado para o acesso do app, um invasor pode inferir informações sobre a estrutura e o conteúdo do banco de dados e executar instruções para compartilhar, alterar ou até mesmo excluir elementos presentes na conta do MOVEit.

Ransomware

Das invasões de sucesso, dois ransomwares se destacaram: o LockBit3 e o Blackcat (AlphV) foram os dois tipos de cryptolockers que tiveram mais sucesso em invasões institucionais durante o ano.

Em primeiro lugar, o LockBit3 registrou cerca de 526 operações de sucesso contra diferentes organizações pelo Brasil até o momento. Sendo um RaaS (Ransomware-as-a-Service), possui serviço de compra e venda na Deep e Dark Web e se diferencia por possuir várias técnicas de criptografias que foram sendo acopladas em suas constantes atualizações.

Tendo similaridades de código com o LockBit3, o BlackCat vem em segundo lugar na lista com cerca de 207 empresas vítimas de seus ataques. O golpe, apesar de ter diferentes maneiras de execução, tem sempre o mesmo objetivo: atacar as credenciais de domínio e criptografar os outros dispositivos que estão conectados a esse mesmo núcleo (algumas vezes podendo até mesmo divulgar dados pessoais dos empregados que estão no sistema, como fotos, conversas, entre outros. Depois disso, o malware encerra as opções de backup, assim fazendo com que a empresa fique refém do ataque e tenha que pagar aos hackers o resgate de seu domínio e informações.

O BlackCat é um ransomware mundialmente conhecido por ser bastante efetivo em seus ataques e, justamente por conta dessa eficiência que outras famílias de ransomwares surgiram com códigos e modelos parecidos ao dele, como o ransomware Sphynx.

De acordo com a pesquisa feita pela equipe da ISH, os principais alvos desses malwares foram ataques às organizações do segmento de saúde e órgãos governamentais.

Apesar de bastante conhecidos no mundo de cibersegurança, o LockBit3 e o BlackCat são constantemente atualizados e tem seus dados e configurações utilizados como modelo na comunidade de invasores. Então, não esqueça deles para o segundo semestre do ano pois eles ainda são os principais ransomwares vistos na Web.

Principais casos de junho

Clop: o ransomware Clop é extremamente recente no mercado de ransomwares e está colocado na quarta posição da lista de invasões feitas com êxito no semestre, com 137. O Clop possui uma alta modificação das suas táticas, técnicas e procedimentos (TTPs) ao longo de sua operação, dificultando o rastreamento das operações e metodologias dos ataques. O ransomware já utilizou e modificou por diversas vezes a sua cadeia de infecção, sendo que inicialmente, o ransomwares utilizou phishing, evoluindo para ataques de download de arquivos maliciosos e por fim a exploração constante de vulnerabilidades de acordo com relatório publicado pela Trend Micro.

DDoS no Outlook: nos dias 5 e 6 de junho, o Outlook sofreu uma série de ataques que deixou o aplicativo bem instável. A autoria da instabilidade foi reivindicada pelo Anonymous Sudan, que impediu que usuários acessassem e enviassem e-mails a partir do app móvel do Outlook. O ataque DDoS foi utilizado pelos hacktivistas sudaneses para protestar contra o envolvimento dos EUA em assuntos internos do Sudão.

Serviço
www.ish.com.br