Últimas notícias

Fique informado

Trend Micro revela atividades do grupo TeamTNT em sua recente pesquisa

30 de agosto de 2021

Spotlight

Facebook fala sobre o incidente de 4 de outubro

“Agora que nossas plataformas estão funcionando normalmente após a interrupção de 4 de outubro achei que valeria a pena compartilhar,”Santosh Janardhan.

6 de outubro de 2021

Levantamento mostra as ferramentas e técnicas utilizadas e o impacto das atividades maliciosas do grupo

A Trend Micro Brasil, realizou uma pesquisa detalhada sobre o TeamTNT, um dos mais persistentes grupos de hackers maliciosos, que iniciou uma série de campanhas em 2020 e início de 2021.

Rodrigo Garcia

A maioria dessas campanhas — embora variando as ferramentas, técnicas e finalidade — tinha como alvo ambientes em nuvem.

O TeamTNT vem atacando de alguma forma desde 2011, mas foi só em 2020 que o grupo começou a chamar a atenção. Em abril do ano passado, lançou uma campanha de curta duração com o tema Covid-19, escolhendo palavras relacionadas à pandemia para seus URLs de ataque.

Um mês depois, a Trend Micro mapeou uma entrada sobre como o TeamTNT estava mirando portas de daemon abertas do Docker, para distribuir a mineração de criptomoedas.

O grupo também provocou outra campanha, no final de 2020, implantando o TNTbotinger, um bot de IRC (Internet Relay Chat) com recursos de negação de serviço distribuído (DDoS). Este ano, focou ainda mais na nuvem, abrangendo diferentes serviços e softwares baseados em cloud”, comenta Rodrigo Garcia, diretor de Vendas da Trend Micro.


Rotinas de infecção e cargas


As rotinas de infecção do TeamTNT geralmente seguem um padrão, no qual o grupo faz o reconhecimento usando seu scanner para escolher as vítimas adequadas. Depois de reduzir seus alvos, ele verifica se há configurações erradas e outras falhas de segurança que podem ser exploradas, tais como:

  • Instâncias não seguras do Redis;
  • Vulnerabilidades de dispositivos de Internet das Coisas (IoT);
  • APIs de Docker expostas;
  • Credenciais vazadas;
  • Dispositivos acessíveis via Secure Shell (SSH).

Ao encontrar um sistema com falhas de segurança exploráveis, ele começa a entregar suas cargas, que incluem:

  • Roubo de credenciais;
  • Mineração de criptomoedas;
  • Bots IRC;
  • Scanners de redes locais;
  • Conchas reversas/vinculadas

O roubo de credenciais é muitas vezes um dos objetivos do grupo, se não o principal. O TeamTNT utiliza uma série de técnicas em suas rotinas de captação de credenciais, com scritps próprios que contêm funções projetadas para procurar credenciais de serviços e softwares específicos. Também implementa mecanismos de persistência em algumas de suas expedições, garantindo que o usuário selecionado esteja configurado para ser acessado por SSH. Isso é feito para criar um método de retorno ao sistema após a infecção. Em muitos casos, os invasores implantam suas próprios chaves públicas SSH.

O uso crescente de serviços, software e infraestrutura baseados em cloud tornou a nuvem um alvo atraente para grupos como o TeamTNT. Um roubo bem-sucedido de credenciais em nuvem ou uma rotina de mineração de criptomoedas acaba infectando todo o sistema e pode ter consequências de longo alcance em uma organização – especialmente em termos de interrupção operacional e até mesmo danos à reputação.

 “Nosso trabalho acompanhando as atividades do TeamTNT é para garantir um olhar mais atento para um grupo de hackers focado na nuvem. Temos como objetivo ajudar as empresas a entender como o grupo realiza suas atividades e oferecer insights e recomendações para evitar os ciberataques, finaliza Rodrigo Garcia.

Veja uma cópia completa do relatório, aqui.

Sobre a Trend Micro

A Trend Micro, líder global em cibersegurança, ajuda a tornar o mundo mais seguro quando o assunto é troca de informações digitais. Com décadas de experiência em segurança da informação, pesquisa global de ameaças e inovação contínua, a Trend Micro protege centenas de milhares de organizações e milhões de indivíduos com soluções para redes, dispositivos, sistemas em nuvem e endpoints. As plataformas da Trend Micro oferecem uma gama poderosa de técnicas avançadas de defesa contra ameaças otimizadas para ambientes Google, Microsoft e Amazon, possibilitando respostas mais rápidas e efetivas aos riscos cibernéticos. Com 7.000 colaboradores em 65 países, a Trend Micro permite que as organizações protejam e simplifiquem o seu mundo conectado.

Trend Micro abre nova turma de capacitação em cibersegurança

Trend Micro revela: 70% das equipes de cibersegurança estão emocionalmente sobrecarregadas

Ataques cibernéticos a e-mail baseados em nuvem disparam com a pandemia relata Trend Micro

Pesquisas & Estudos

Aqui você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!

O Crypto ID publica os melhores artigos e notícias sobre Cibersegurança. Confira aqui!