Ransomwares registram 1480 invasões bem-sucedidas no período; domínios governamentais e de saúde são alvos recorrentes
A ISH Tecnologia, referência nacional em cibersegurança, divulga um relatório dos ransomwares e vulnerabilidades que mais tiveram sucesso ao atacar empresas no primeiro semestre de 2023.
Ao todo, foram detectadas seis vulnerabilidades consideradas de pontuação crítica pelos especialistas, e ransomwares que ao todo, registraram cerca de 1480 invasões bem-sucedidas em domínios institucionais, sequestrando dados bancários, criptografando informações confidenciais entre outros diversos dados.
Caique Barqueta, Especialista em Inteligência de Ameaças da ISH Tecnologia diz que mesmo que alguns dos ataques tenham sido detectados no início do ano, é preciso de muita atenção à eles no segundo semestre: “Mesmo com algumas vulnerabilidades e ransomwares tendo sido descobertos em janeiro, fevereiro e março, eles não foram completamente erradicados. Na verdade, seus números apenas crescem, isso porque seus criadores lançam constantes atualizações que vão apenas tornando-os atacantes mais sólidos, com um leque de maneiras de invasão e uma gama de contra-ataque contra serviços de segurança cibernética.”
Confira abaixo as vulnerabilidades e ransomwares que foram ficando cada vez mais potentes no primeiro semestre de 2023:
Vulnerabilidades
EoP (Outlook): é uma exploração de toque zero, o que significa que a falha de segurança requer baixa complexidade para abuso e não requer interação do usuário.
O invasor envia uma mensagem para a vítima estendida com um caminho para um Server Message Block controlado pelo invasor remoto. Hospedado no servidor, a vulnerabilidade é explorada pelo invasor tendo a vítima visto a mensagem ou não.
PaperCut NG/MF: essa vulnerabilidade permite que os atacantes remotos ignorem a autenticação nas instalações afetadas do PaperCut. O problema resulta de controle de acesso impróprio.
Um invasor pode aproveitar essa vulnerabilidade para ignorar a autenticação e executar um código arbitrário no sistema alvo, ou seja, resultando na infecção dos domínios e podendo haver instalações de diversos códigos que mudem completamente sua configuração.
MOVEit: o MOVEit Transfer, aplicativo de transferência de dados e configurações confidenciais de informações empresariais, possui uma vulnerabilidade de injeção de SQL em seu aplicativo web.
Dependendo do mecanismo utilizado para o acesso do app, um invasor pode inferir informações sobre a estrutura e o conteúdo do banco de dados e executar instruções para compartilhar, alterar ou até mesmo excluir elementos presentes na conta do MOVEit.
Ransomwares registram 1480 invasões bem-sucedidas
Das invasões de sucesso citadas, dois ransomwares se destacaram: o LockBit3 e o Blackcat (AlphV) foram os dois tipos de cryptolockers que tiveram mais sucesso em invasões institucionais durante o ano.
Em primeiro lugar, o LockBit3 registra cerca de 526 operações de sucesso contra diferentes organizações pelo Brasil até o momento.
Sendo um RaaS (Ransomware-as-a-Service), possui serviço de compra e venda na Deep e Dark Web e se diferencia por possuir várias técnicas de criptografias que foram sendo acopladas em suas constantes atualizações.
Tendo similaridades de código com o LockBit3, o BlackCat vem em segundo lugar na lista com cerca de 207 empresas vítimas de seus ataques.
O golpe, apesar de ter diferentes maneiras de execução, tem sempre o mesmo objetivo: atacar as credenciais de domínio e criptografar os outros dispositivos que estão conectados a esse mesmo núcleo (algumas vezes podendo até mesmo divulgando dados pessoais dos empregados que estão no sistema: como fotos, conversas, entre outros).
Depois disso, o malware encerra as opções de backup, assim fazendo com que a empresa fique refém do ataque e tenha que pagar aos hackers o resgate de seu domínio e informações.
O BlackCat é um ransomware mundialmente conhecido por ser bastante efetivo em seus ataques e, justamente por conta dessa eficiência que outras famílias de ransomwares surgiram com códigos e modelos parecidos ao dele, como o ransomware Sphynx.
De acordo com a pesquisa feita pela equipe da ISH, os principais alvos desses malwares foram ataques às organizações do segmento de saúde e órgãos governamentais.
Apesar de bastante conhecidos no mundo de cibersegurança, o LockBit3 e o BlackCat são constantemente atualizados e tem seus dados e configurações utilizados como modelo na comunidade de invasores.
Então, não esqueça deles para o segundo semestre do ano pois eles ainda são os principais ransomwares vistos na web.
Principais casos de junho
Clop: o ransomware Clop é extremamente recente no mercado de ransomwares e está colocado na quarta posição da lista de invasões feitas com êxito no semestre, com 137.
O Clop possui uma alta modificação das suas táticas, técnicas e procedimentos (TTPs) ao longo de sua operação, dificultando o rastreamento das operações e metodologias dos ataques.
O Ransomware já utilizou e modificou por diversas vezes a sua cadeia de infecção, sendo que inicialmente, o ransomwares utilizou phishing, evoluindo para ataques de download de arquivos maliciosos e por fim a exploração constante de vulnerabilidades de acordo com relatório publicado pela Trend Micro.
DDoS no Outlook: no dia 5 e 6 de junho, o Outlook sofreu uma série de ataques que deixou o aplicativo bem instável. A autoria da instabilidade foi reivindicada pelo Anonymous Sudan, que impediu que usuários acessassem e enviassem e-mails a partir do app móvel do Outlook.
O ataque DDoS foi utilizado pelos hacktivistas sudaneses para protestar contra o envolvimento dos EUA em assuntos internos do Sudão.
Sobre a ISH
A ISH Tecnologia, fundada em 1996, é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas.
Ocupa a 34ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert.
Com mais de 800 profissionais especializados, tem entre seus clientes algumas das maiores empresas do Brasil, incluindo bancos, fintechs, instituições financeiras, varejistas, atacadistas, empresas da área de saúde e órgãos públicos.
A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.
O ransomware está mais complexo: confira as tendências de ataque
Pelo segundo ano consecutivo, Brasil é o país mais atacado por Ransomware na América Latina
43% dos ataques de ransomware em 2022 começaram com a exploração de aplicativos