falecom@consecti.org.br
(61) 3702-1740
[google-translator]

Saúde e governo: alvos recorrentes dos ataques ransomwares no primeiro semestre - Consecti

Saúde e governo: alvos recorrentes dos ataques ransomwares no primeiro semestre - Consecti

Notícias
05 julho 2023

Saúde e governo: alvos recorrentes dos ataques ransomwares no primeiro semestre

A ISH Tecnologia, referência nacional em cibersegurança, divulga um relatório dos ransomwares e vulnerabilidades que mais tiveram sucesso ao atacar empresas no primeiro semestre de 2023. Ao todo, foram detectadas seis vulnerabilidades consideradas de pontuação crítica pelos especialistas, e ransomwares que ao todo, registraram cerca de 1480 invasões bem-sucedidas em domínios institucionais, sequestrando dados bancários, criptografando informações confidenciais entre outros diversos dados.

Caique Barqueta, Especialista em Inteligência de Ameaças da ISH Tecnologia diz que mesmo que alguns dos ataques tenham sido detectados no início do ano, é preciso de muita atenção à eles no segundo semestre: “Mesmo com algumas vulnerabilidades e ransomwares tendo sido descobertos em janeiro, fevereiro e março, eles não foram completamente erradicados. Na verdade, seus números apenas crescem, isso porque seus criadores lançam constantes atualizações que vão apenas tornando-os atacantes mais sólidos, com um leque de maneiras de invasão e uma gama de contra-ataque contra serviços de segurança cibernética.”

Confira abaixo as vulnerabilidades e ransomwares que foram ficando cada vez mais potentes no primeiro semestre de 2023:

Vulnerabilidades

EoP (Outlook): é uma exploração de toque zero, o que significa que a falha de segurança requer baixa complexidade para abuso e não requer interação do usuário.

O invasor envia uma mensagem para a vítima estendida com um caminho para um Server Message Block controlado pelo invasor remoto. Hospedado no servidor, a vulnerabilidade é explorada pelo invasor tendo a vítima visto a mensagem ou não.

PaperCut NG/MF: essa vulnerabilidade permite que os atacantes remotos ignorem a autenticação nas instalações afetadas do PaperCut. O problema resulta de controle de acesso impróprio. Um invasor pode aproveitar essa vulnerabilidade para ignorar a autenticação e executar um código arbitrário no sistema alvo, ou seja, resultando na infecção dos domínios e podendo haver instalações de diversos códigos que mudem completamente sua configuração.

MOVEit: o MOVEit Transfer, aplicativo de transferência de dados e configurações confidenciais de informações empresariais, possui uma vulnerabilidade de injeção de SQL em seu aplicativo web. Dependendo do mecanismo utilizado para o acesso do app, um invasor pode inferir informações sobre a estrutura e o conteúdo do banco de dados e executar instruções para compartilhar, alterar ou até mesmo excluir elementos presentes na conta do MOVEit.

Ransomwares registram 1480 invasões bem-sucedidas

Das invasões de sucesso citadas, dois ransomwares se destacaram: o LockBit3 e o Blackcat (AlphV) foram os dois tipos de cryptolockers que tiveram mais sucesso em invasões institucionais durante o ano.

Em primeiro lugar, o LockBit3 registra cerca de 526 operações de sucesso contra diferentes organizações pelo Brasil até o momento. Sendo um RaaS (Ransomware-as-a-Service), possui serviço de compra e venda na Deep e Dark Web e se diferencia por possuir várias técnicas de criptografias que foram sendo acopladas em suas constantes atualizações.

Tendo similaridades de código com o LockBit3, o BlackCat vem em segundo lugar na lista com cerca de 207 empresas vítimas de seus ataques.

O golpe, apesar de ter diferentes maneiras de execução, tem sempre o mesmo objetivo: atacar as credenciais de domínio e criptografar os outros dispositivos que estão conectados a esse mesmo núcleo (algumas vezes podendo até mesmo divulgando dados pessoais dos empregados que estão no sistema: como fotos, conversas, entre outros). Depois disso, o malware encerra as opções de backup, assim fazendo com que a empresa fique refém do ataque e tenha que pagar aos hackers o resgate de seu domínio e informações.

O BlackCat é um ransomware mundialmente conhecido por ser bastante efetivo em seus ataques e, justamente por conta dessa eficiência que outras famílias de ransomwares surgiram com códigos e modelos parecidos ao dele, como o ransomware Sphynx.

De acordo com a pesquisa feita pela equipe da ISH, os principais alvos desses malwares foram ataques às organizações do segmento de saúde e órgãos governamentais.

Apesar de bastante conhecidos no mundo de cibersegurança, o LockBit3 e o BlackCat são constantemente atualizados e tem seus dados e configurações utilizados como modelo na comunidade de invasores. Então, não esqueça deles para o segundo semestre do ano pois eles ainda são os principais ransomwares vistos na web.

Principais casos de junho

Clop: o ransomware Clop é extremamente recente no mercado de ransomwares e está colocado na quarta posição da lista de invasões feitas com êxito no semestre, com 137.

O Clop possui uma alta modificação das suas táticas, técnicas e procedimentos (TTPs) ao longo de sua operação, dificultando o rastreamento das operações e metodologias dos ataques. O Ransomware já utilizou e modificou por diversas vezes a sua cadeia de infecção, sendo que inicialmente, o ransomwares utilizou phishing, evoluindo para ataques de download de arquivos maliciosos e por fim a exploração constante de vulnerabilidades de acordo com relatório publicado pela Trend Micro.

DDoS no Outlook: no dia 5 e 6 de junho, o Outlook sofreu uma série de ataques que deixou o aplicativo bem instável. A autoria da instabilidade foi reivindicada pelo Anonymous Sudan, que impediu que usuários acessassem e enviassem e-mails a partir do app móvel do Outlook. O ataque DDoS foi utilizado pelos hacktivistas sudaneses para protestar contra o envolvimento dos EUA em assuntos internos do Sudão.

Fonte: TI Inside