A ISH Tecnologia divulgou um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de janeiro.
No primeiro mês do ano, o destaque ficou por conta de um curioso caso de um ciberataque que atingiu um alvo “indevido”, além de alertas para grupos criminosos que estão operando juntos e compartilhando estratégias de ataque.
Ataque cibernético “arrependido” e “honra entre ladrões”
O grupo conhecido como LockBit é um dos mais notórios de todo o mundo, especialmente devido a seus grandes ataques cibernéticos e sua operação como Ransomware as a Service (RaaS), no qual os afiliados utilizam ferramentas de outros ransomwares já desenvolvidos para executar ataques.
Recentemente, no entanto, o grupo foi notícia por um motivo mais “nobre”. Ao se dar conta de que um de seus últimos ataques havia atingido a instituição canadense SickKids, destinada ao cuidado médico de crianças, o grupo, em comunicado oficial, revelou ter devolvido gratuitamente os dados roubados, e expulsado o hacker responsável de seu quadro de afiliados.
Interessantemente, o grupo possui uma espécie de “manual”, no qual proíbe, por exemplo, ataques a infraestruturas críticas (como usinas nucleares), organizações sem fins lucrativos e países pertencentes à antiga União Soviética. No caso de instituições de Saúde, a análise para “liberação” do ataque é um pouco mais minuciosa, e leva em conta vários fatores.
Industroyer2
Ao contrário do LockBit, trata-se de um malware que, conforme o nome indica, prioriza o setor industrial para seus ataques. Recentemente, atingiu um fornecedor de energia ucraniano.
Conforme revela a equipe de inteligência da ISH, o Industroyer2 é capaz de controlar diretamente interruptores e disjuntores de subestações de eletricidade. Para isso, utiliza protocolos de comunicação industrial utilizados mundialmente em infraestruturas de fornecimento de energia, sistemas de controle de transporte, e outros de infraestrutura crítica, como água e gás.
Trata-se de um malware modular, ou seja, que se utiliza de componentes de outros malwares. O que o difere é o uso de quatro componentes projetados para obter controle direto dos interruptores e disjuntores em uma subestação de distribuição de eletricidade, o que pode causar a paralização total de distribuição de energia para várias cidades por exemplo.
FIN7
Outro grupo cibercriminoso ativo. Este grupo é notório por três motivos: implementação de meios de acesso não documentadas que permitem acesso a cadeias de suprimentos de softwares, distribuição de pen drives maliciosos, e cooperação com outros grupos. Entre eles está o DarkSide, responsável pelo ataque ao maior oleoduto dos Estados Unidos em 2021.
O FIN7 foi relacionado à campanha de espionagem digital conhecida como “Carbanak”, no qual interagiu com outros grupos, como LockBit, REvil e Maze. Teria ainda reunido uma equipe de hackers para criar empresas falsas de Segurança da Informação para induzir pesquisadores a executarem ataques de ransomware.
Além dos ransomwares (implementados em sua maioria por duas vulnerabilidades conhecidas do Microsoft Exchange, “ProxyShell” e “ProxyLogon”), observou-se que o grupo também realiza ataques por meio de engenharia social com documentos maliciosos em e-mail, compra ou venda de credenciais roubadas em mercados clandestinos.
OWASSRF
Trata-se de um método de exploração, que consiste na exploração de duas vulnerabilidades que permitem execuções remotas no acesso via web do Outlook. Esse novo método ignora as mitigações já disponibilizadas pela Microsoft em resposta ao “ProxyNotShell”, outra vulnerabilidade encontrada.
A inteligência revela também que os agentes de ameaça executam códigos legítimos dos programas Plink e AnyDesk para manter o acesso, e utilizam técnicas anti-forense do Microsoft Exchange para manterem sua atividade oculta.
