Medusa e Sphynx são principais ameaças encontradas em abril 

Compartilhar:

Empresa detectou novo site de compartilhamento de dados sequestrados e novas plataformas utilizadas para phishing 

Esquemas de phishing utilizando novas ferramentas de trabalho, novo fórum para compartilhamento de dados vazados e atualização de cryptolockers que já causaram muito perigo pela web. Confira as principais ameaças aos equipamentos pessoais e redes corporativas identificadas pela ISH Tecnologia no mês de abril.

Phishing utilizando o Adobe Acrobat Sign: esse esquema está sendo feito emulando a plataforma que é muito usada nos dias de hoje para assinar digitalmente documentos, o Adobe Acrobat Sign. O phishing é uma famosa técnica de furto de dados. Geralmente, uma mensagem apelativa é enviada em massa para que, quem recebeu, clique em um link malicioso sem perceber.  

Nesse caso, é mandado uma réplica da verificação do site real de assinaturas – porém, a vítima é redirecionada a outro site para responder a um CAPTCHA que possui um arquivo .zip. Esse arquivo que contém uma variante do malware Trojan Redline, que tem a habilidade de roubar senhas, carteiras criptográficas, dados, entre outras informações confidenciais. 

Medusa: a família Medusa é uma das mais conhecidas dentro do mundo dos ransomwares. Tendo históricos de sucesso em ataques nos últimos anos com o MedusaLocker, o grupo malicioso coloca o ransomware Medusa e sua extensão, o Medusa botnet Mirai, como ataques em evidência nesse começo de 2023. 

O Medusa tem, por enquanto, capacidade de ser operado apenas no sistema Windows. Esse malware é capaz de encerrar mais de 280 processos e serviços do Windows que são vitais para o funcionamento da máquina, além de também impedir sua restauração. Uma vez que os dados já estão sequestrados, o grupo malicioso pede para a vítima o resgate dessas informações adquiridas e, caso isso não aconteça, todas elas são postadas por meio de um vídeo feito pelo grupo.  

Já a Botnet Mirai é uma extensão mais recente e simples do Medusa, que é camuflado em formato de serviço (Malware as a Service). Ele “finge” ser um portal dedicado de segurança, prometendo estabilidade, suporte e comandos fáceis, mas na verdade é exatamente o contrário disso. Uma vez com o “serviço contratado”, ele criptografa a maioria de seus dados em 24h, tenta acesso a cadastros com senhas, e coloca mensagens de resgate na tela que, na verdade funcionam como phishing para conseguir mais informações da vítima. 

Sphynx (BlackCat 2.0): segundo os próprios desenvolvedores do famoso ransomware BlackCat, o ataque foi atualizado com o intuito de ser mais poderoso. O Sphynx, ou BlackCat 2.0, traz uma versão do já utilizado e solidificado na posição de ransomwares mais difíceis de combater, o AlphV. 

 

O Sphynx é uma versão reescrita do zero do AlphV que foi otimizado para não cair em detecções de sistema de segurança. Técnicas como mascaramento do processo de criptografia e distribuição do arquivo “readme” (“me leia”, em inglês) foram colocadas nessa nova versão do conhecido malware. 

Ataques pelo OneNote: para diversificar, os grupos maliciosos estão explorando novos vetores de ataque dentro dos sistemas de máquinas, e um deles é o aplicativo OneNote. O aplicativo está cada vez mais recorrente nos ambientes de trabalho para acessos iniciais. 

Na investida, são enviados e-mails com arquivos para abrir no OneNote, que na verdade contêm scripts incorporados para realizar downloads de malwares como Emotet, QakBot, AgentTesla, entre muitos outros.  

LeakBase: foi identificado um novo fórum de vazamento de dados. Para ocupar o espaço do antigo Breached, o LeakBase se tornou um pilar dos grupos maliciosos para troca de dados confidenciais, criptografias, técnicas de ataque, compartilhamento de configurações, dicas de hacking, tutoriais, entre outras informações. 

O LeakBase é um fórum que procura ativamente afiliados para cooperar seu grupo. O site ainda está em fase inicial e precisa de várias atualizações e melhorias para chegar no ápice do Breached, que tinha função parecida para a comunidade. De qualquer maneira, o LeakBase já está causando danos reais para a sociedade, visto que, só no Brasil, 5,2 milhões de dados de brasileiros já foram vendidos no site.  

Ataques nos SNMP’s dos roteadores Cisco: alguns órgãos de segurança governamental como o Centro Nacional de Segurança Nacional do Reino Unido, a Agência de Segurança Nacional dos EUA e o FBI divulgaram que um dos grupos hackers mais sofisticados do mundo, o Fancy Bear, descobriu algumas técnicas de investida que passam pela vulnerabilidade do protocolo SNMP dos roteadores Cisco. 

O SNMP é muito importante para esses roteadores, pois monitora e controla os status de funcionamento dos dispositivos conectados. Todavia, o Simple Network Management Protocol está sendo vulnerável a diversas maneiras de ataques, como por exemplo os de força bruta, de negação de serviço (DDoS), de injeção de códigos maliciosos no sistema e o de vulnerabilidades já conhecidas.  


Conteúdos Relacionados

Security Report | Overview

Nova onda de ciberataques revela avanço da engenharia social, alerta pesquisa

Estudo aponta a nova técnica de phishing, denominada FileFix, já é usada em campanhas reais e permite execução de malwares...
Security Report | Overview

48% dos líderes do setor de ciências da vida utilizam IA para Cibersegurança, afirma estudo

Security Report | Overview

Atuação do grupo de cibercriminosos persiste apesar de operação internacional, alerta pesquisa

Alerta de especialistas afirmam que grupo de cibercriminosos ainda está ativo apesar da operação internacional de busca dos envolvidos
Security Report | Overview

Mais de 12 milhões de smartphones foram alvo de ciberataques, aponta estudo

Entre janeiro e março deste ano, foi registrado um crescimento de 27% em arquivos maliciosos detectados, em comparação com o...