Empresa detectou novo site de compartilhamento de dados sequestrados e novas plataformas utilizadas para phishing
Esquemas de phishing utilizando novas ferramentas de trabalho, novo fórum para compartilhamento de dados vazados e atualização de cryptolockers que já causaram muito perigo pela web. Confira as principais ameaças aos equipamentos pessoais e redes corporativas identificadas pela ISH Tecnologia no mês de abril.
Phishing utilizando o Adobe Acrobat Sign: esse esquema está sendo feito emulando a plataforma que é muito usada nos dias de hoje para assinar digitalmente documentos, o Adobe Acrobat Sign. O phishing é uma famosa técnica de furto de dados. Geralmente, uma mensagem apelativa é enviada em massa para que, quem recebeu, clique em um link malicioso sem perceber.
Nesse caso, é mandado uma réplica da verificação do site real de assinaturas – porém, a vítima é redirecionada a outro site para responder a um CAPTCHA que possui um arquivo .zip. Esse arquivo que contém uma variante do malware Trojan Redline, que tem a habilidade de roubar senhas, carteiras criptográficas, dados, entre outras informações confidenciais.
Medusa: a família Medusa é uma das mais conhecidas dentro do mundo dos ransomwares. Tendo históricos de sucesso em ataques nos últimos anos com o MedusaLocker, o grupo malicioso coloca o ransomware Medusa e sua extensão, o Medusa botnet Mirai, como ataques em evidência nesse começo de 2023.
O Medusa tem, por enquanto, capacidade de ser operado apenas no sistema Windows. Esse malware é capaz de encerrar mais de 280 processos e serviços do Windows que são vitais para o funcionamento da máquina, além de também impedir sua restauração. Uma vez que os dados já estão sequestrados, o grupo malicioso pede para a vítima o resgate dessas informações adquiridas e, caso isso não aconteça, todas elas são postadas por meio de um vídeo feito pelo grupo.
Já a Botnet Mirai é uma extensão mais recente e simples do Medusa, que é camuflado em formato de serviço (Malware as a Service). Ele “finge” ser um portal dedicado de segurança, prometendo estabilidade, suporte e comandos fáceis, mas na verdade é exatamente o contrário disso. Uma vez com o “serviço contratado”, ele criptografa a maioria de seus dados em 24h, tenta acesso a cadastros com senhas, e coloca mensagens de resgate na tela que, na verdade funcionam como phishing para conseguir mais informações da vítima.
Sphynx (BlackCat 2.0): segundo os próprios desenvolvedores do famoso ransomware BlackCat, o ataque foi atualizado com o intuito de ser mais poderoso. O Sphynx, ou BlackCat 2.0, traz uma versão do já utilizado e solidificado na posição de ransomwares mais difíceis de combater, o AlphV.
O Sphynx é uma versão reescrita do zero do AlphV que foi otimizado para não cair em detecções de sistema de segurança. Técnicas como mascaramento do processo de criptografia e distribuição do arquivo “readme” (“me leia”, em inglês) foram colocadas nessa nova versão do conhecido malware.
Ataques pelo OneNote: para diversificar, os grupos maliciosos estão explorando novos vetores de ataque dentro dos sistemas de máquinas, e um deles é o aplicativo OneNote. O aplicativo está cada vez mais recorrente nos ambientes de trabalho para acessos iniciais.
Na investida, são enviados e-mails com arquivos para abrir no OneNote, que na verdade contêm scripts incorporados para realizar downloads de malwares como Emotet, QakBot, AgentTesla, entre muitos outros.
LeakBase: foi identificado um novo fórum de vazamento de dados. Para ocupar o espaço do antigo Breached, o LeakBase se tornou um pilar dos grupos maliciosos para troca de dados confidenciais, criptografias, técnicas de ataque, compartilhamento de configurações, dicas de hacking, tutoriais, entre outras informações.
O LeakBase é um fórum que procura ativamente afiliados para cooperar seu grupo. O site ainda está em fase inicial e precisa de várias atualizações e melhorias para chegar no ápice do Breached, que tinha função parecida para a comunidade. De qualquer maneira, o LeakBase já está causando danos reais para a sociedade, visto que, só no Brasil, 5,2 milhões de dados de brasileiros já foram vendidos no site.
Ataques nos SNMP’s dos roteadores Cisco: alguns órgãos de segurança governamental como o Centro Nacional de Segurança Nacional do Reino Unido, a Agência de Segurança Nacional dos EUA e o FBI divulgaram que um dos grupos hackers mais sofisticados do mundo, o Fancy Bear, descobriu algumas técnicas de investida que passam pela vulnerabilidade do protocolo SNMP dos roteadores Cisco.
O SNMP é muito importante para esses roteadores, pois monitora e controla os status de funcionamento dos dispositivos conectados. Todavia, o Simple Network Management Protocol está sendo vulnerável a diversas maneiras de ataques, como por exemplo os de força bruta, de negação de serviço (DDoS), de injeção de códigos maliciosos no sistema e o de vulnerabilidades já conhecidas.
