Medusa e Sphynx são principais ameaças encontradas em abril 

Compartilhar:

Empresa detectou novo site de compartilhamento de dados sequestrados e novas plataformas utilizadas para phishing 

Esquemas de phishing utilizando novas ferramentas de trabalho, novo fórum para compartilhamento de dados vazados e atualização de cryptolockers que já causaram muito perigo pela web. Confira as principais ameaças aos equipamentos pessoais e redes corporativas identificadas pela ISH Tecnologia no mês de abril.

Phishing utilizando o Adobe Acrobat Sign: esse esquema está sendo feito emulando a plataforma que é muito usada nos dias de hoje para assinar digitalmente documentos, o Adobe Acrobat Sign. O phishing é uma famosa técnica de furto de dados. Geralmente, uma mensagem apelativa é enviada em massa para que, quem recebeu, clique em um link malicioso sem perceber.  

Nesse caso, é mandado uma réplica da verificação do site real de assinaturas – porém, a vítima é redirecionada a outro site para responder a um CAPTCHA que possui um arquivo .zip. Esse arquivo que contém uma variante do malware Trojan Redline, que tem a habilidade de roubar senhas, carteiras criptográficas, dados, entre outras informações confidenciais. 

Medusa: a família Medusa é uma das mais conhecidas dentro do mundo dos ransomwares. Tendo históricos de sucesso em ataques nos últimos anos com o MedusaLocker, o grupo malicioso coloca o ransomware Medusa e sua extensão, o Medusa botnet Mirai, como ataques em evidência nesse começo de 2023. 

O Medusa tem, por enquanto, capacidade de ser operado apenas no sistema Windows. Esse malware é capaz de encerrar mais de 280 processos e serviços do Windows que são vitais para o funcionamento da máquina, além de também impedir sua restauração. Uma vez que os dados já estão sequestrados, o grupo malicioso pede para a vítima o resgate dessas informações adquiridas e, caso isso não aconteça, todas elas são postadas por meio de um vídeo feito pelo grupo.  

Já a Botnet Mirai é uma extensão mais recente e simples do Medusa, que é camuflado em formato de serviço (Malware as a Service). Ele “finge” ser um portal dedicado de segurança, prometendo estabilidade, suporte e comandos fáceis, mas na verdade é exatamente o contrário disso. Uma vez com o “serviço contratado”, ele criptografa a maioria de seus dados em 24h, tenta acesso a cadastros com senhas, e coloca mensagens de resgate na tela que, na verdade funcionam como phishing para conseguir mais informações da vítima. 

Sphynx (BlackCat 2.0): segundo os próprios desenvolvedores do famoso ransomware BlackCat, o ataque foi atualizado com o intuito de ser mais poderoso. O Sphynx, ou BlackCat 2.0, traz uma versão do já utilizado e solidificado na posição de ransomwares mais difíceis de combater, o AlphV. 

 

O Sphynx é uma versão reescrita do zero do AlphV que foi otimizado para não cair em detecções de sistema de segurança. Técnicas como mascaramento do processo de criptografia e distribuição do arquivo “readme” (“me leia”, em inglês) foram colocadas nessa nova versão do conhecido malware. 

Ataques pelo OneNote: para diversificar, os grupos maliciosos estão explorando novos vetores de ataque dentro dos sistemas de máquinas, e um deles é o aplicativo OneNote. O aplicativo está cada vez mais recorrente nos ambientes de trabalho para acessos iniciais. 

Na investida, são enviados e-mails com arquivos para abrir no OneNote, que na verdade contêm scripts incorporados para realizar downloads de malwares como Emotet, QakBot, AgentTesla, entre muitos outros.  

LeakBase: foi identificado um novo fórum de vazamento de dados. Para ocupar o espaço do antigo Breached, o LeakBase se tornou um pilar dos grupos maliciosos para troca de dados confidenciais, criptografias, técnicas de ataque, compartilhamento de configurações, dicas de hacking, tutoriais, entre outras informações. 

O LeakBase é um fórum que procura ativamente afiliados para cooperar seu grupo. O site ainda está em fase inicial e precisa de várias atualizações e melhorias para chegar no ápice do Breached, que tinha função parecida para a comunidade. De qualquer maneira, o LeakBase já está causando danos reais para a sociedade, visto que, só no Brasil, 5,2 milhões de dados de brasileiros já foram vendidos no site.  

Ataques nos SNMP’s dos roteadores Cisco: alguns órgãos de segurança governamental como o Centro Nacional de Segurança Nacional do Reino Unido, a Agência de Segurança Nacional dos EUA e o FBI divulgaram que um dos grupos hackers mais sofisticados do mundo, o Fancy Bear, descobriu algumas técnicas de investida que passam pela vulnerabilidade do protocolo SNMP dos roteadores Cisco. 

O SNMP é muito importante para esses roteadores, pois monitora e controla os status de funcionamento dos dispositivos conectados. Todavia, o Simple Network Management Protocol está sendo vulnerável a diversas maneiras de ataques, como por exemplo os de força bruta, de negação de serviço (DDoS), de injeção de códigos maliciosos no sistema e o de vulnerabilidades já conhecidas.  


Conteúdos Relacionados

Security Report | Overview

79% dos líderes de SI são pressionados a reduzir a gravidade dos riscos cibernéticos

A pesquisa produzida pela Trend Micro revela uma grave lacuna de credibilidade da TI junto à diretoria
Security Report | Overview

Ataques DDoS respondem por 50% dos incidentes cibernéticos contra sites, diz relatório

Pesquisa 2024 da Verizon identificou 16.843 incidentes no último ano
Security Report | Overview

Brasileiros sofrem 60 milhões de tentativas de infecção por malware em maio

Pesquisa da NordVPN aponta que sites de conteúdo adulto, hospedagem de vídeo e imitações de marcas famosas são os preferidos...
Security Report | Overview

Grupo de ransomware desbanca LockBit3 e promove ataques significativos no mundo

Pesquisadores da Check Point Research destacam uma mudança no cenário do Ransomware-as-a-Service (RaaS), com o RansomHub ultrapassando o LockBit3 e...