Introdução
Desde a publicação de nossa primeira edição trimestral em janeiro de 2023, o BlackBerry Global Threat Intelligence Report se tornou rapidamente um guia de referência importante no setor de segurança cibernética. Esse relatório é usado por profissionais de segurança cibernética em todo o mundo, inclusive CISOs, gerentes de segurança e outros tomadores de decisão, para se manterem informados sobre as mais recentes ameaças e desafios de segurança cibernética que afetam seus setores e plataformas.
Nesta nova edição, nossa equipe global de Pesquisa e Inteligência sobre Ameaças do BlackBerry examina os desafios para governos e entidades públicas, vulnerabilidades no setor de saúde, riscos para instituições financeiras e a importância de proteger a infraestrutura vital. Também incluímos uma nova análise geopolítica e uma seção de comentários que fornece contexto adicional e uma perspectiva estratégica para os dados apresentados. O relatório abrange de março de 2023 a maio de 2023.
Aqui estão alguns dos destaques:
- 90 dias pelos números. De março de 2023 a maio de 2023, as soluções de segurança cibernéticadaBlackBerry® interromperam mais de 1,5 milhão de ataques. Em média, os agentes de ameaças implementaram aproximadamente 11,5 ataques por minuto. Essas ameaças incluíam cerca de 1,7 novas amostras de malware por minuto. Isso representa um aumento de 13% em relação à média do período do relatório anterior de 1,5 novas amostras por minuto, demonstrando que os invasores estão diversificando suas ferramentas na tentativa de contornar os controles defensivos, especialmente as soluções legadas baseadas em assinaturas e hashes.
- Setores mais visados. Os setores de saúde e serviços financeiros estavam entre os setores mais visados. No setor de saúde, a combinação de dados valiosos e serviços essenciais representa um alvo lucrativo para os criminosos cibernéticos, resultando em gangues de ransomware que visam diretamente as organizações de saúde e na proliferação de malware para roubo de informações, ou infostealers. Este relatório destaca a importância de proteger os dados dos pacientes e de proteger o fornecimento ininterrupto de serviços médicos essenciais.
- O acesso remoto aumenta o risco cibernético. As instituições financeiras enfrentam ameaças persistentes devido à sua importância econômica e à riqueza de dados confidenciais. Este relatório investiga os desafios do setor financeiro, incluindo a crescente disponibilidade de malware de commodities, ataques de ransomware e o aumento do malware bancário móvel direcionado a serviços bancários digitais e móveis.
- Ataques cibernéticos específicos de países. No segundo trimestre de 2023, o APT28 e o Lazarus Group - agentes de ameaças patrocinados pelo Estado e vinculados à Rússia e à Coreia do Norte, respectivamente - estavam muito ativos. Esses agentes de ameaças têm um histórico significativo de atacar especificamente os Estados Unidos, a Europa e a Coreia do Sul. Seu foco se estende a agências governamentais, organizações militares, empresas e instituições financeiras, representando uma séria ameaça à segurança nacional e à estabilidade econômica. Esses grupos de ameaças adaptam continuamente suas técnicas, o que torna difícil a defesa contra seus ataques.
- Concluindo e olhando para o futuro. Por fim, apresentamos nossas conclusões e a previsão de ameaças cibernéticas para os próximos meses de 2023.
Para fornecer inteligência sobre ameaças cibernéticas acionáveis e contextuais, as seções Técnicas Comuns do MITRE e Contramedidas Aplicadas e Remediação resumem as 20 principais técnicas usadas pelos grupos de ameaças e comparam as tendências com o último relatório trimestral. Por exemplo, confirmamos que as cinco táticas usadas com mais frequência estão nas categorias de descoberta e evasão de defesa. As técnicas relatadas como parte dessas táticas podem ser incorporadas aos exercícios da equipe purple e usadas para priorizar táticas, técnicas e procedimentos (TTPs) como parte de exercícios práticos de modelagem de ameaças.
Além disso, a equipe de Pesquisa e Inteligência de Ameaças do BlackBerry usou o MITRE D3FEND™ para desenvolver uma lista completa de contramedidas para todas as técnicas usadas durante esse período. O MITRE D3FEND está disponível em nosso repositório público do GitHub. Este relatório lista as regras Sigma mais eficazes para detectar os comportamentos mal-intencionados exibidos pelas 224.851 amostras exclusivas que as soluções de segurança cibernética doBlackBerry , com tecnologia Cylance® AI, interromperam nesse período. Nosso objetivo é permitir que os leitores traduzam nossas descobertas em seus próprios recursos práticos de detecção e busca de ameaças.
Por fim, gostaria de agradecer à nossa equipe de elite de pesquisadores globais da equipe de Pesquisa e Inteligência sobre Ameaças do site BlackBerry por continuar produzindo pesquisas de primeira linha e de classe mundial que informam e educam nossos leitores e, ao mesmo tempo, aprimoram continuamente os produtos e serviços orientados por IA do site BlackBerry e Cylance . Esperamos que você encontre valor nos dados detalhados e acionáveis apresentados em nossa última edição.
Ismael Valenzuela
Vice-presidente de Pesquisa e Inteligência sobre Ameaças em BlackBerry
@aboutsecurity
Ataques por país e setor
Ataques cibernéticos por país
Os cinco principais países que sofrem mais ataques cibernéticos
A Figura 1 mostra os cinco países onde as soluções de segurança cibernética daBlackBerry impediram a maioria dos ataques cibernéticos e onde foram usadas amostras maliciosas exclusivas. Como no período do relatório anterior, o BlackBerry impediu o maior número de ataques nos Estados Unidos. Desde então, observamos um crescimento na região da Ásia-Pacífico (APAC), com a Coreia do Sul e o Japão entrando em nosso top 3. Tanto a Nova Zelândia quanto Hong Kong entraram no top 10. Embora os Estados Unidos continuem no topo, notamos uma diversificação muito maior dos países em que essas novas amostras foram observadas.
Ataques por setor
De acordo com a telemetria do BlackBerry , abaixo estão os principais setores com a maior distribuição de ataques cibernéticos que as soluções de segurança cibernética do BlackBerry protegeram durante esse período:
- Instituições financeiras
- Serviços e equipamentos de saúde, incluindo hospitais, clínicas e dispositivos médicos
- Entidades governamentais/públicas
- Infraestrutura crítica
Durante esse período do relatório, os setores atacados eram um grupo mais diversificado do que no último relatório. A Figura 2 mostra a distribuição dos ataques cibernéticos entre os três principais setores. Ela também mostra que há uma relação inversa na classificação dos setores de 1 a 3 em ataques interrompidos vs. hashes exclusivos interrompidos:
Governo/Entidades Públicas
As organizações governamentais são alvos atraentes para agentes de ameaças cujas motivações podem ser geopolíticas, financeiras ou de interrupção. Como os agentes de ameaças podem incluir indivíduos, pequenos grupos ou grupos de APT patrocinados pelo Estado (que usam táticas de APT), as organizações governamentais precisam se defender contra uma ampla gama de ameaças.
Durante esse período, as soluções de segurança cibernética da BlackBerry impediram mais de 55.000 ataques individuais contra o governo e o setor de serviços públicos, um aumento de quase 40% em relação ao período anterior.
BlackBerry As soluções de segurança cibernética impediram o maior número de ataques contra entidades governamentais na América do Norte e na região da APAC, onde a Austrália, a Coreia do Sul e o Japão foram os países mais visados na região.
Principais ameaças ao governo
No período do relatório anterior, a equipe de Pesquisa e Inteligência sobre Ameaças do site BlackBerry documentou várias famílias de malware de commodities baratas e de fácil acesso direcionadas a entidades governamentais, incluindo RedLine, Emotet e RaccoonStealer (RecordBreaker). Os carregadores de malware de commodities PrivateLoader e SmokeLoader também visavam o setor governamental.
O DCRat, também conhecido como Dark Crystal RAT, foi documentado nesse período do relatório. A DCRat tem sido comumente observada desde 2019 e permite que os agentes de ameaças assumam o controle do dispositivo da vítima, que então serve como um ponto de acesso conveniente para o ambiente comprometido.
Examinando o cenário mais amplo de ameaças governamentais
Esse período do relatório foi fortemente dominado por notícias de grupos de ransomware que visavam e violavam sistemas de governos municipais e estaduais na América do Norte.
Em março, o grupo de ransomware LockBit atacou a cidade de Oakland,1 na Califórnia. O grupo opera um ransomware como serviço (RaaS) e normalmente emprega várias táticas e técnicas para se infiltrar em redes, identificar informações críticas e confidenciais e exfiltrar dados para serem usados como garantia em estratagemas de dupla extorsão para pressionar as vítimas a pagar pedidos de resgate maiores. Além disso, nesse período do relatório, o grupo de ameaças BlackByte reivindicou o crédito pelos ataques de ransomware da Royal contra as cidades de Dallas, Texas, e Augusta, Geórgia.
O grupo de ransomware Clop (também conhecido como Cl0P ou CLOP) é um RaaS semelhante que foi observado abusando da vulnerabilidade CVE-2023-06692, já corrigida, no aplicativo GoAnywhere de transferência gerenciada de arquivos (MFT). Depois que essa vulnerabilidade foi exposta, o Clop assumiu a responsabilidade por vários outros ataques neste período do relatório, incluindo um ataque à cidade de Toronto,3 no Canadá, onde o grupo alega ter criptografado dispositivos e exfiltrado metadados de mais de 35.000 cidadãos.
A Polônia também foi alvo de ataques. De acordo com a Reuters,4 o Serviço de Impostos polonês foi colocado off-line em março por um suposto ataque cibernético russo. De acordo com o comissário de segurança da informação da Polônia,5 o grupo NoName, alinhado à Rússia, instigou os ataques, que ele descreveu como "simples" para os padrões atuais.
Em maio, o grupo hacktivista Mysterious Team atacou sites do governo e do Ministério das Finanças do Senegal6 em um ataque de negação de serviço distribuído (DDoS).
Assistência médica
O setor de saúde é um dos mais consistentemente visados pelos agentes de ameaças. Por fornecerem serviços essenciais, os sistemas e a infraestrutura do setor de saúde não podem ficar off-line por longos períodos de tempo. Isso os torna alvos atraentes para as gangues de ransomware que pressionam as vítimas a pagar rapidamente para que o provedor de serviços de saúde possa voltar a funcionar. De acordo com um relatório recente do Internet Crime Complaint Center (IC3) do FBI, o setor de saúde e saúde pública foi o setor de infraestrutura crítica mais visado pelas gangues de ransomware nos EUA em 2022, com 210 ataques oficialmente relatados.7
O setor de saúde também é visado devido ao valor dos dados confidenciais em seus sistemas, inclusive informações de identificação pessoal (PII) de indivíduos, incluindo nomes, endereços, datas de nascimento, números de previdência social e, muitas vezes, registros de saúde confidenciais. As PII podem ser transformadas em armas para crimes como roubo de identidade,8 vendidas em fóruns de mercado da dark web ou usadas para chantagem e resgate.
De acordo com o U.S. Department of Health and Human Services Office for Civil Rights Breach Portal,9 houve 146 eventos de "hacking/incidentes de TI" contra provedores de serviços de saúde dos EUA durante esse período.
Principais ameaças ao setor de saúde
Durante o período do relatório, as soluções de segurança cibernética da BlackBerry detectaram e interromperam 13.433 binários de malware exclusivos e evitaram mais de 109.922 ataques diferentes em todo o setor de saúde.
Os ataques mais proeminentes foram feitos usando malware de commodity, especialmente infostealers como o RedLine. Outra ameaça predominante foi o Amadey (um bot vinculado a uma botnet de mesmo nome), que pode realizar reconhecimento em um host infectado, roubar dados e fornecer cargas úteis adicionais.
Os agentes de ameaças também usaram famílias de malware, como Emotet, IcedID e SmokeLoader, para atacar o setor de saúde. Um ponto em comum nesses ataques a provedores de serviços de saúde é que eles empregam malware de roubo de informações que também podem fornecer cargas úteis mal-intencionadas adicionais.
Examinando o cenário mais amplo de ameaças ao setor de saúde
Esse período do relatório incluiu vários ataques cibernéticos notáveis e de grande escala no cenário mais amplo de ameaças à saúde. No início de março, o hospital espanhol Clínic de Barcelona foi vítima10 de um ataque de ransomware que se acredita ter sido perpetrado11 pela organização de crimes cibernéticos RansomHouse. O ataque teve como alvo máquinas virtuais dentro da infraestrutura do hospital e interrompeu gravemente os serviços médicos programados. Pouco mais de uma semana depois, a Alliance Healthcare, um dos principais fornecedores farmacêuticos da Espanha, foi alvo de um ataque que resultou no desligamento completo12 do site da empresa, dos sistemas de faturamento e do processamento de pedidos.
Também em março, a Sun Pharmaceuticals, fabricante de produtos farmacêuticos sediada em Mumbai - a maior do gênero na Índia e a quarta maior do mundo - foi atacada13 pelo operador de ransomware ALPHV/BlackCat, que adicionou os dados roubados da empresa ao seu site de vazamento pouco tempo depois. Mais ou menos no mesmo período, o grupo também atacou a Lehigh Valley Health Network, sediada na Pensilvânia, após o que ameaçou publicar fotos de pacientes com câncer de mama,14 uma ação que foi universalmente condenada como um novo ponto baixo para o setor de crimes cibernéticos.
Suspeita-se também que agentes de ameaças patrocinados pelo Estado tenham visado o setor de saúde durante esse período. Em maio, a polícia sul-coreana divulgou que hackers baseados na Coreia do Norte haviam violado o Hospital da Universidade Nacional de Seul e roubado dados médicos confidenciais. A violação ocorreu em meados de 2021, seguida de uma investigação de dois anos. Fontes da mídia alegaram que o grupo Kimsuky APT foi o responsável por esse ataque.15
Esses ataques variados demonstram que o setor de saúde é um alvo atraente para todos os tipos de agentes de ameaças. Como as organizações do setor de saúde geralmente mantêm dados confidenciais e fornecem serviços essenciais, é provável que o número de ataques contra esse setor aumente.
Finanças
O setor financeiro é um alvo frequente de criminosos cibernéticos que buscam grandes pagamentos, impacto destrutivo (incluindo possíveis multas governamentais, taxas legais, custos de mitigação de ameaças e danos à reputação do alvo) e dados financeiros confidenciais que podem ser vendidos em fóruns da dark web. Esses dados geralmente são comprados por agentes de ameaças secundárias que os transformam em armas para atingir outros objetivos maliciosos.
Durante esse período, as soluções de segurança cibernética da BlackBerry interromperam mais de 17.000 ataques contra instituições financeiras, sendo que cerca de 15.000 desses ataques foram contra organizações dos EUA. Os demais ataques ao setor financeiro foram detectados e interrompidos em países localizados na América do Sul e na Ásia.
Principais ameaças ao setor financeiro
Durante o período do relatório, a telemetria do BlackBerry observou uma tendência contínua no uso de malware de commodities, como o RedLine, que pode coletar informações, incluindo credenciais salvas, informações de cartão de crédito e (em uma versão mais recente) criptomoeda. O BlackBerry também observou ataques usando o malware de backdoor SmokeLoader e a estrutura de código aberto MimiKatz.
O Amadey, um botnet vendido em fóruns de hackers de língua russa, foi detectado ameaçando o setor financeiro. O Amadey envia as informações da vítima-alvo de volta ao seu comando e controle (C2) enquanto aguarda os comandos do invasor. A principal função do Amadey é carregar cargas maliciosas em máquinas comprometidas.
Examinando o cenário mais amplo de ameaças financeiras
O setor financeiro, especialmente os bancos, sofreu vários ataques nesse período do relatório. Outra ameaça comum às instituições financeiras foi o ransomware Clop, uma variante da família de ransomware CryptoMix. O grupo por trás desse malware também abusou de uma nova vulnerabilidade encontrada no software GoAnywhere MFT, que sofria de uma vulnerabilidade de injeção de comando de pré-autenticação rastreada como CVE-2023-0669 16 na recente violação da plataforma bancária Hatch Bank17.
No início do período deste relatório, o grupo RaaS por trás do Lockbit 3.0 atacou a FullertonIndia18, uma empresa financeira não bancária da Índia. O grupo por trás do ataque alegou ter roubado mais de 600 GB de dados que foram compartilhados em seu site de vazamento na dark web.
Na Austrália, a gigante dos empréstimos Latitude Financial Services19 e a unidade indonésia do Commonwealth Bank of Australia20 foram alvo de ataques cibernéticos no início de 2023.
O setor financeiro também foi alvo de um novo malware para Android. O cavalo de Troia para Android conhecido como "Chameleon" 21 imita um aplicativo de serviço bancário eletrônico do PKO Bank Polski para enganar as vítimas. O grupo de malware Xenomorph para Android lançou versões atualizadas e supostamente roubou credenciais de mais de 400 bancos22 em todo o mundo.
Infraestrutura crítica
Como uma infraestrutura crítica confiável é necessária para fornecer serviços essenciais dos quais populações inteiras dependem, a infraestrutura é um alvo de alto valor para estados-nação hostis e outros grupos que planejam ataques. Conforme observado em nosso relatório anterior, o setor de energia da Ucrânia foi alvo de ataques físicos e digitais de grupos supostamente apoiados pela Rússia. Dado o foco crescente nas vulnerabilidades de segurança da tecnologia operacional (TO) por malfeitores, governos e infraestrutura essencial, as entidades devem priorizar a segurança de sua infraestrutura.
Durante o período do relatório, a telemetria do BlackBerry registrou a maioria dos ataques contra a infraestrutura dos EUA, seguida pela Índia, Japão e Equador. No geral, as soluções de segurança cibernética da BlackBerry impediram mais de 25.000 ataques contra infraestruturas críticas durante esse período.
Principais alvos de infraestrutura crítica
A infraestrutura crítica geralmente é isolada de outros sistemas em um esforço para atenuar as ameaças externas. No entanto, a crescente digitalização e a integração com a Internet das Coisas (IoT) nos ecossistemas de TI e TO podem apresentar riscos imprevistos. À medida que novas tecnologias são adotadas, ameaças cibernéticas sofisticadas, sem dúvida, as acompanham. Além de danificar a infraestrutura, os criminosos cibernéticos também buscam acesso a dados e sistemas.
O malware de commodity também é uma ameaça crescente à infraestrutura. Por exemplo, o site BlackBerry detectou o infostealer Vidar, um malware de commodity.
Examinando o cenário mais amplo de ameaças à infraestrutura crítica
Vários ataques altamente divulgados à infraestrutura crítica ocorreram durante o período do relatório, principalmente um ataque contra os Estados Unidos por um suposto agente de ameaças patrocinado pelo Estado chinês, o Volt Typhoon. De acordo com a pesquisa da Microsoft,23 o Volt Typhoon está envolvido principalmente em espionagem. O grupo utiliza técnicas de LotL (living off the land)24 e compromete equipamentos de rede para canalizar o tráfego de rede sem ser detectado.
Em abril, um suposto grupo baseado na Coreia do Norte que se acredita estar por trás do ataque à cadeia de suprimentos X_Trader25 foi vinculado ao comprometimento de infraestruturas essenciais nos Estados Unidos e na Europa. As crescentes tensões geopolíticas aumentaram a conscientização pública sobre a elevada ameaça à infraestrutura essencial baseada no Ocidente. O Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, por exemplo, emitiu um alerta26 pedindo vigilância devido ao aumento da atividade de agentes de ameaças alinhados ao Estado e simpáticos à invasão da Ucrânia pela Rússia.
Análise geopolítica e comentários
Vivemos em uma era de geopolítica digital. A atividade cibernética maliciosa surgiu como uma tática frequentemente empregada por alguns Estados-nação para projetar poder, perturbar adversários e atingir seus objetivos geopolíticos. Como o Centro Canadense de Segurança Cibernética descreveu em sua Avaliação Nacional de Ameaças Cibernéticas para 2023-24,27 a atividade de ameaças cibernéticas "tornou-se uma ferramenta importante para os Estados influenciarem eventos sem chegar ao limiar do conflito". As motivações por trás dos ataques cibernéticos podem variar desde o roubo de propriedade intelectual até a espionagem cibernética, a interrupção de infraestruturas essenciais e a alimentação de campanhas de influência digital para minar a confiança do público no governo (consulte a Estratégia Nacional de Segurança Cibernética dos EUA).28 À medida que mais e mais infraestruturas de TI e TO ficam on-line, é provável que a atividade cibernética continue a ser usada como uma ferramenta para atingir fins econômicos, sociais, geopolíticos e militares.
Durante esse período do relatório, o site BlackBerry documentou um aumento de quase 40% no número de ataques cibernéticos contra entidades do setor público que foram interrompidos pelas soluções de segurança cibernética do siteBlackBerry . Os setores de infraestrutura crítica tornaram-se alvos estratégicos para agentes cibernéticos patrocinados pelo Estado porque o tempo de inatividade na prestação de serviços essenciais do governo pode ser particularmente prejudicial, minando a confiança do público. Por esse motivo, os governos da Five Eyes, uma aliança de inteligência composta por Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos, avaliaram consistentemente que os agentes cibernéticos patrocinados pelo Estado estão "quase certamente conduzindo atividades de reconhecimento contra infraestruturas críticas" com o objetivo de "pré-posicionamento em redes OT industriais" e para "enviar mensagens intimidadoras sobre [seu] poder e capacidade [de] ameaçar a saúde e a segurança de uma população". (The Cyber Threat to Canada's Oil and Gas Sector,29 Canadian Center for Cyber Security, 2023; consulte também CISA Cybersecurity Alerts & Advisories).30
Diante do aumento dos ataques cibernéticos, os governos estão intensificando a colaboração para ajudar a investigar, responder e se recuperar de incidentes. Entre os exemplos estão as rápidas mobilizações dos Estados Unidos e de outras nações parceiras aliadas para ajudar a CostaRica31, aAlbânia32 e Montenegro33 em 2022, quando cada um de seus governos enfrentou ataques cibernéticos contra infraestruturas essenciais. Mais recentemente, em Vancouver, Canadá, mais de 30 governos reafirmaram a necessidade de uma ampla cooperação internacional para combater as ameaças cibernéticas e defender o comportamento responsável dos Estados no espaço cibernético (consulte "Nations urged to be responsible in cyber space after meeting in Vancouver").34
À medida que as hostilidades na Ucrânia continuam, a ligação entre a geopolítica e os ataques cibernéticos tem se tornado cada vez mais clara. A Austrália, o Canadá, a Nova Zelândia, o Reino Unido e os EUA emitiram vários avisos cibernéticos conjuntos35 alertando sobre possíveis atividades cibernéticas direcionadas a infraestruturas essenciais por grupos hacktivistas criminosos não estatais "patrocinados pelo Estado russo" e "alinhados à Rússia" em apoio à invasão russa da Ucrânia. Durante esse período do relatório, o siteBlackBerry documentou ataques de supostos agentes de ameaças afiliados à Rússia que visavam missões diplomáticas da UE e entidades de saúde dos EUA que forneciam suporte médico a refugiados ucranianos. Prevemos que essa tendência continuará com o agravamento dessa crise geopolítica.
Número total de ameaças interrompidas
De março a maio de 2023, as soluções de segurança cibernética daBlackBerry interromperam 1.528.488 ataques cibernéticos. Durante esse período, os agentes de ameaças implantaram uma média de 16.614 amostras de malware por dia contra os clientes da BlackBerry . Isso representa uma média de 11,5 amostras de malware por minuto.
Essas amostras incluíam 224.851 amostras de malware novas e exclusivas. Em média, isso equivale a 2.444 novas amostras por dia ou 1,7 novas amostras por minuto. Isso representa um aumento de 13% em relação à média de 1,5 amostras exclusivas por minuto do período do relatório anterior.
O gráfico a seguir mostra a dinâmica dos ataques cibernéticos que as soluções de segurança cibernética da BlackBerry , com a tecnologia da Cylance AI, evitaram durante esse período.
Agentes e ferramentas de ameaças
Durante esse período, as soluções de segurança cibernética da BlackBerry , impulsionadas pela IA da Cylance , defenderam os clientes contra esses agentes e ferramentas de ameaças avançadas.
Atores de ameaça
APT28
O APT28, também conhecido como Sofacy/Fancy Bear, é um grupo de espionagem cibernética altamente capacitado e com muitos recursos, que se supõe operar em nome do governo russo e que tem como foco os países ocidentais e seus aliados. Ativo desde pelo menos 2007, o grupo tem como alvo uma ampla gama de setores que incluem governo, forças armadas, empreiteiras de defesa e empresas de energia. O grupo é suspeito de estar envolvido em campanhas de ameaças persistentes avançadas (APT), incluindo a Operação Pawn Storm e a Operação Sofacy.
Em novembro de 2015, o grupo começou a usar uma arma chamada Zebrocy, que tem três componentes principais: um downloader e um dropper que podem descobrir processos em execução e baixar o arquivo malicioso nos sistemas, e um backdoor que estabelece persistência no sistema e exfiltra dados.
Grupo Lazarus
Acredita-se que o Lazarus Group,37 também conhecido como Labyrinth Chollima, Hidden Cobra, Guardians of Peace, Zinc e Nickel Academy, seja um grupo de ameaças cibernéticas patrocinado pelo Estado norte-coreano, atribuído à agência de inteligência Reconnaissance General Bureau da Coreia do Norte. O grupo está ativo desde pelo menos 2009 e foi supostamente responsável pelo ataque destrutivo de wiper de novembro de 2014 contra a Sony Pictures Entertainment como parte de uma campanha chamada Operation Blockbuster.38
Esse grupo usou um Trojan de acesso remoto (RAT) personalizado chamado Manuscrypt39 que coleta informações do sistema, executa comandos e faz download de cargas úteis adicionais.
Ferramentas
AdFind
O AdFind é uma ferramenta de linha de comando de código aberto que reúne informações do Active Directory (AD). O AdFind é usado durante os estágios de descoberta para reunir os dados do AD das vítimas.
Mimikatz
O Mimikatz é uma estrutura e ferramenta de teste de penetração (pen-testing) de código aberto que oferece vários recursos para testar a segurança da rede e fortalecer os sistemas. O Mimikatz pode extrair informações confidenciais, como senhas e credenciais, e oferece muitos outros recursos para ajudar os profissionais de segurança a identificar vulnerabilidades, incluindo o aumento de privilégios em computadores baseados no Windows®. Devido aos seus recursos avançados, os agentes de ameaças costumam abusar do Mimikatz para atingir seus objetivos maliciosos.
Ataque de Cobalto
O Cobalt Strike®40 é uma plataforma comercial de emulação de adversários que pode executar ataques direcionados e emular ações pós-exploração de agentes de ameaças avançadas. A ferramenta é frequentemente usada por profissionais de segurança em testes de penetração para avaliar e testar a segurança de redes e sistemas de computadores.
O Cobalt Strike Beacon é um agente sem arquivo leve que pode ser implantado no dispositivo de uma vítima para fornecer recursos como transferências de arquivos, registro de chaves, escalonamento de privilégios, varredura de portas e muito mais. Esses recursos são frequentemente usados por profissionais de segurança para emular ameaças e testar defesas cibernéticas, mas também são regularmente utilizados por agentes de ameaças.
Extreme RAT
O Extreme RAT (também conhecido como XTRAT, Xtreme Rat) é uma ferramenta de Trojan de acesso remoto cujos recursos incluem upload e download de arquivos, gerenciamento do registro, execução de comandos do shell, captura de telas, manipulação de processos e serviços em execução e gravação de áudio por meio do microfone ou da câmera da Web de um dispositivo. Essa RAT foi usada em ataques direcionados aos governos israelense41 e sírio42 em 2012 e 2015, bem como em outros ataques realizados por vários agentes de ameaças diferentes.
Famílias de malware mais prevalentes
Windows
Droppers/Downloaders
Emotet
Na última década, o Emotet evoluiu de seu início original como um cavalo de Troia bancário autônomo para se tornar um malware como serviço (MaaS) operado por trás de um trio de botnets denominado Epoch1, Epoch2 e Epoch3. As botnets servem como mecanismo de entrega para vários outros malwares de commodities, como TrickBot, IcedID, Bumblebee Loader, e também são conhecidas por implantar Cobalt Strike Beacons maliciosos.
No passado, a infame gangue do ransomware Ryuk usou o Emotet em conjunto com o TrickBot para facilitar o acesso aos ambientes das vítimas. O Emotet usa e-mails de spam e documentos infectados do Microsoft® Office como seu principal vetor de infecção. Depois de sobreviver a um esforço de remoção da polícia e a mais de um período sabático autoimposto, o Emotet continua presente no cenário de ameaças atual.
Carregador privado
O PrivateLoader apareceu pela primeira vez no cenário de ameaças em 2022 e estava conectado a um serviço de pagamento por instalação. Usando versões troianizadas de software "crackeado" (ou modificado) como seu principal vetor de infecção, o PrivateLoader foi usado em várias campanhas para fornecer uma variedade de malware de commodities, incluindo RedLine, Remcos, njRAT, SmokeLoader e outros. A telemetria do site BlackBerry indica que o PrivateLoader provavelmente se tornará um visitante regular, embora indesejável, no futuro.
Carregador de fumaça
O SmokeLoader é um recurso regular no cenário de ameaças e tem evoluído continuamente desde seu surgimento em 2011. Até 2014, ele era usado principalmente por agentes de ameaças baseados na Rússia e foi usado para carregar uma série de malwares, incluindo ransomware, infostealers, criptomineradores e cavalos de Troia bancários. O SmokeLoader é frequentemente distribuído por meio de e-mails de spam, documentos armados e ataques de spearphishing. Uma vez instalado no host da vítima, o SmokeLoader pode criar um mecanismo de persistência para sobreviver após a reinicialização, realizar injeção de DLL para tentar se esconder dentro de processos legítimos, realizar enumeração de hosts e baixar/carregar arquivos adicionais ou malware. O SmokeLoader também contém técnicas anti-sandbox e anti-análise, como ofuscação de código.
Durante o período do relatório anterior, o SmokeLoader foi usado duas vezes para atingir entidades ucranianas em cadeias de execução que incluíam arquivos, documentos falsos, carregadores de JavaScript e o uso do PowerShell para fornecer uma carga útil do SmokeLoader.
Infostealers
RedLine
O RedLine é um conhecido infostealer baseado em .NET que tem como alvo os sistemas Windows. De acordo com a telemetria do site BlackBerry , o RedLine foi uma das famílias de malware mais amplamente observadas durante esse período. Essa família de malware amplamente difundida também foi discutida no Global Threat Intelligence Report - April 2023.
O RedLine é um infostealer relativamente barato que tenta exfiltrar informações pessoais de um sistema infectado, como senhas, números de previdência social e informações de cartão de crédito salvas em navegadores. Além disso, o RedLine pode coletar e enviar listas de aplicativos (incluindo software de segurança) instalados no dispositivo da vítima para o invasor, o que ajuda os invasores a planejar ataques secundários. O RedLine também pode executar comandos e geralmente é um componente de uma cadeia de execução de vários estágios.
O RedLine é amplamente distribuído em fóruns clandestinos e é vendido como um produto autônomo ou como parte de um pacote de assinatura de MaaS. No momento em que este artigo foi escrito, ele pode ser adquirido por aproximadamente US$ 100 a US$ 150.
A popularidade e a capacidade do RedLine de infligir danos são resultado de sua versatilidade. O malware pode ser distribuído de várias maneiras diferentes e, muitas vezes, é implantado como uma carga secundária ou terciária de outro malware para aumentar os danos ao sistema da vítima. Nos últimos meses, o RedLine foi distribuído por meio de anexos trojanizados do Microsoft® OneNote em e-mails de phishing.
RaccoonStealer/RecordBreaker
O RaccoonStealer é um infostealer que obtém cookies de navegador, senhas, dados de preenchimento automático de navegador da Web e dados de carteira de criptomoedas. O malware foi supostamente vendido como MaaS em fóruns da dark web e plataformas semelhantes.
Em meados de 2022, após um hiato e uma suspensão temporária das operações, o grupo por trás do malware anunciou uma nova versão do RaccoonStealer, batizada de RaccoonStealer 2.0 ou RecordBreaker. Esse malware atualizado é atualmente distribuído como MaaS em mercados obscuros. O grupo alega que o reconstruiu do zero com uma infraestrutura atualizada e recursos aprimorados de roubo de informações.
Vidar
O Vidar é outro malware de commodity usado com frequência e distribuído abertamente em fóruns clandestinos. Supostamente uma bifurcação do infostealer Arkei, o Vidar coleta informações bancárias, credenciais de navegador e carteiras de criptomoedas, além de arquivos padrão. Na execução, o malware reúne informações críticas do sistema, bem como dados sobre hardware, processos em execução e software, e os envia de volta ao agente da ameaça.
Desde seu lançamento inicial em 2018, várias iterações do Vidar reforçaram seus recursos, sua capacidade de evasão e sua complexidade geral, o que aumentou sua popularidade entre os agentes de ameaças. Outras famílias de malware foram observadas descartando o Vidar como uma carga útil secundária.
IcedID
Frequentemente chamado de BokBot, esse cavalo de Troia bancário foi descoberto pela primeira vez em 2017. Desde então, o IcedID se reinventou várias vezes para se tornar consistentemente predominante no cenário de ameaças. O IcedID é modular por natureza, e sua principal funcionalidade é a de um sofisticado cavalo de Troia bancário.
Como o IcedID é atualizado com frequência para ser mais evasivo e prejudicial, ele continua sendo uma ameaça importante em 2023. Além disso, o IcedID geralmente serve como um dropper de cargas úteis adicionais para malware de estágio secundário, incluindo ransomware e comprometimentos do Cobalt Strike.
Trojans de acesso remoto
Agente Tesla
O Agent Tesla é um RAT compilado em .NET e um infostealer que tem sido predominante no cenário de ameaças desde pelo menos 2014. É um RAT completo que pode roubar e exfiltrar uma ampla gama de dados (incluindo pressionamentos de teclas, capturas de tela e credenciais de muitos aplicativos comumente usados).
O Agent Tesla usou vários vetores de infecção, incluindo e-mails de spam e documentos do Microsoft® Word transformados em armas. Ele também se espalhou por meio da exploração de vulnerabilidades do Microsoft® Office e de arquivos HTML compilados. Durante o período do relatório anterior, o Agent Tesla se tornou uma das RATs mais ativas no cenário global de ameaças.
Ransomware
BlackCat/ALPHV
Aparecendo inicialmente na natureza em 2021, o BlackCat ou ALPHV/Noberus é uma família de ransomware escrita na linguagem de programação Rust. O malware é vendido como RaaS e pode ter como alvo sistemas operacionais baseados em Windows e Linux.
O ALPHV é um ransomware prolífico que tem sido usado para atingir vítimas de alto perfil. Depois de infectar o host, o ransomware ALPHV se torna evasivo e tenta bloquear as funções de recuperação e relatório antes de detonar o payload final do ransomware.
O ALPHV ganhou ainda mais notoriedade por exfiltrar dados confidenciais e usar um método de extorsão dupla para pressionar as vítimas a pagar resgates maiores para restaurar o acesso a seus arquivos criptografados e impedir que eles sejam divulgados ao público.
De acordo com um aviso do FBI,43 o BlackCat/ALPHV está potencialmente ligado aos grupos mais antigos DarkSide e BlackMatter.
Celular
Android
Desde o seu primeiro lançamento em 2008, o AndroidTM tornou-se a plataforma móvel preferida de mais de três bilhões44 de usuários ativos de dispositivos portáteis, abrangendo cerca de 71% do mercado mundial.45 Infelizmente, a popularidade do Android também o torna um alvo atraente para os agentes de ameaças, de modo que o cenário de ameaças ao Android nunca esteve tão animado. Aqui estão algumas das ameaças ao Android mais prevalentes que encontramos durante o período deste relatório.
SpyNote
O SpyNote46 (também conhecido como SpyMax) é uma família de malware usada para espionar as vítimas. O SpyNote extrai informações confidenciais, como credenciais e detalhes de cartões de crédito de dispositivos móveis. O SpyNote também pode monitorar a localização do usuário, acessar a câmera de um dispositivo, interceptar mensagens de texto SMS (o que ajuda os agentes de ameaças a contornar a autenticação de dois fatores), monitorar e gravar chamadas telefônicas e controlar um dispositivo remotamente.
O SpyNote continua a evoluir. A última iteração, chamada de SpyNote.C, é a primeira variante a ser fornecida por aplicativos falsos que se disfarçam de aplicativos legítimos de organizações financeiras importantes, bem como de outros aplicativos móveis comumente usados. Após um vazamento de código-fonte em outubro de 2022, as amostras do SpyNote aumentaram significativamente no cenário de ameaças móveis.47
SpinOk
O SpinOk, que foi documentado pela primeira vez no final de maio de 2023, é um componente de software malicioso com recursos de spyware que parece ser um kit de desenvolvimento de software (SDK) para um aplicativo de marketing. No período do relatório anterior, o SpinOK foi incorporado involuntariamente em dezenas48 de aplicativos em um ataque à cadeia de suprimentos de SDK.49
Uma vez incorporado, o SpinOK exibe anúncios que parecem ser minijogos para incentivar os usuários a manter o aplicativo aberto. O SpinOk permite que os agentes de ameaças identifiquem o conteúdo do dispositivo e extraiam dados para servidores remotos. Ele também pode impedir os esforços de análise de ameaças.50
SMSThief
O SMSThief pode interceptar, encaminhar ou copiar as mensagens de texto SMS de uma vítima enquanto é executado em segundo plano no dispositivo. Variantes do SMSThief estão em uso há pelo menos uma década. O SMSThief também pode inscrever as vítimas em golpes de números premium51, enviando mensagens de texto do dispositivo do usuário para um número premium que incorre em cobranças excessivas.
Linux
O Linux® é usado principalmente em servidores corporativos (locais e baseados na nuvem) e dispositivos de IoT, em vez de sistemas de usuários. Os vetores de infecção mais populares são o uso de senhas de força bruta para obter acesso ao Secure Shell (SSH) ou a exploração de vulnerabilidades em serviços voltados para o público. Os ataques deste período do relatório permanecem consistentes com o período anterior, incluindo ataques DDoS, criptomineradores e ransomware direcionados especificamente a servidores VMWare ESXi.
Como o Linux é um alvo ativo para os agentes de ameaças, as organizações devem agir para diminuir o risco. A aplicação de patches de segurança deve ser uma prioridade. A aplicação de patches pode ajudar a proteger os ambientes Linux contra explorações remotas, bem como contra vulnerabilidades de escalonamento de privilégios locais (LPE), que são comumente usadas em ataques sofisticados. Essas explorações remotas incluem malware avançado, como backdoors. Como muitas ameaças aos ambientes Linux dependem da força bruta de senhas fracas para obter acesso, recomendamos exigir credenciais fortes e um programa eficaz de gerenciamento de vulnerabilidades.
Negação de serviço distribuída
Os ataques DDoS baseados em malware foram a ameaça mais comum aos sistemas Linux durante o período do relatório. A variante de malware mais implantada foi a Mirai, que está ativa desde pelo menos 2016. O código-fonte do Mirai é publicado em fóruns clandestinos, o que dificulta a atribuição de ataques a grupos específicos. O Mirai visa principalmente dispositivos IoT sem atualizações de segurança atuais.
O Gafygt,52 que está ativo desde 2014, é um botnet baseado em Linux que usa uma base de código semelhante ao Mirai e geralmente tem como alvo dispositivos como roteadores de IoT. No período do relatório anterior, o XorDDos53 foi o malware mais avançado usado em ataques DDoS, embora também tenha sido o menos comum. O XorDDoS se espalha principalmente por meio do acesso de força bruta ao SSH e pode incluir um rootkit que oculta sua presença dos administradores do sistema.
Criptomineradores
A segunda ameaça mais comum aos servidores Linux durante esse período do relatório foram os criptomineradores - agentes de ameaças que usam os recursos do sistema da vítima para minerar criptomoedas (principalmente Monero). Embora o software de plataforma cruzada de código aberto XMRig seja o criptominerador mais comum, esse período do relatório revelou um aumento no uso do botnetPrometei54, que está ativo desde pelo menos 2020 e também está disponível em uma versão para Windows. Os recursos avançados do Prometei incluem o uso de algoritmos gerados por domínios para dificultar a interrupção do botnet. O Prometei tinha como alvo vítimas em todo o mundo, mas não hosts russos. Originalmente, o Prometei teria sido projetado para não atingir os países da CEI, como Rússia, Ucrânia, Belarus e Cazaquistão. No entanto, edições posteriores do malware sugerem que esse não é mais o caso. O malware parece ter sido projetado para infectar tudo, exceto os dispositivos baseados na Rússia. Diante disso, parece que os ativistas pró-Rússia estão procurando maneiras de atacar as nações que apoiaram a Ucrânia contra a invasão russa.
Ransomware
Embora a maioria dos ataques de ransomware tenha como alvo o Windows, os grupos de ameaças mais proeminentes criam uma versão Linux de seu malware, geralmente visando o VMWare ESXi. Isso incluiu atividades de vários grupos importantes, como Lockbit, Black Basta, BlackCat/ALPHV, Babuk, Royal e Hive. O Trigona55 e o Money Message56 são novas linhagens de ransomware que incluem uma versão para Linux.
No futuro, esperamos que novos grupos de ransomware desenvolvam uma variante do Linux no lançamento de suas operações, aumentando a probabilidade de ataques de ransomware contra sistemas Linux.
macOS
Embora seja considerado mais seguro do que o Windows, o macOS tem sido alvo de agentes de ameaças avançadas há muito tempo. Para obter informações detalhadas, assista a macOS: Tracking High Profile Targeted Attacks, Threat Actors & TTPs,57 a apresentação de BlackBerryna RSA 2023.
Embora o malware típico do macOS exiba adware ou sequestre pesquisas no navegador da Web, um número crescente de agentes de ameaças durante o período do relatório usou linguagens de programação entre plataformas para desenvolver malware direcionado ao próprio macOS. Por exemplo, observamos uma nova variedade chamada Atomic macOS (AMOS), um infostealer baseado na linguagem de programação multiplataforma GoLang (também conhecida como Go).
Adware e sequestro de navegador
Embora muitas pessoas considerem o adware apenas um aplicativo indesejado, ele pode baixar e instalar componentes nocivos, como backdoors. Nesse período do relatório, nossa telemetria mostra que o AdLoad e o Pirrit continuam sendo os adwares mais amplamente implantados. Também observamos a recorrência do Genieo, uma ameaça mais antiga que redireciona os resultados da barra de pesquisa para direcionar o usuário a um adware potencialmente malicioso. O adware pode ser programado para direcionar as pessoas que pesquisam na Web para sites mal-intencionados que fazem download de malware no dispositivo da vítima. Esses sites mal-intencionados podem ser clonados para parecerem idênticos a sites legítimos. Por exemplo, o grupo de ameaças RomCom clonou recentemente sites que hospedam aplicativos corporativos legítimos e usou typosquatting para criar URLs semelhantes aos usados no site real. Os visitantes dos sites falsos baixavam, sem saber, versões troianizadas de softwares populares que davam aos agentes de ameaças uma porta dos fundos em suas máquinas para exfiltrar informações.
Atomic macOS (AMOS) Stealer
O Atomic macOS (AMOS) é um novo tipo de infostealer voltado para o macOS que surgiu neste período do relatório58 e foi visto implantado na natureza. O AMOS é anunciado no popular aplicativo de mensagens baseado em nuvem Telegram. O malware pode coletar credenciais de usuário de chaveiros, navegadores e carteiras de criptografia e exfiltrar arquivos de diretórios específicos do usuário, como Desktop e Documentos. Na plataforma Windows, os corretores de acesso inicial (IABs) usam as credenciais roubadas para comprometer as redes e implantar o ransomware. Embora esse comportamento não tenha sido observado no AMOS, é possível que ocorra no futuro.
Histórias mais interessantes
O SideWinder usa polimorfismo do lado do servidor para atacar funcionários do governo do Paquistão e agora tem como alvo a Turquia
No início de maio, a equipe de Pesquisa e Inteligência sobre Ameaças do site BlackBerry publicou descobertas que revelaram uma campanha do grupo APT SideWinder,59 que se acredita ter origem na Índia. A campanha se concentrou em alvos do governo paquistanês e foi realizada por uma cadeia de execução complexa que se baseou em e-mails de phishing e documentos armados que exploram a vulnerabilidade CVE-2017-019960 para realizar a injeção remota de modelos. O grupo usou o polimorfismo exclusivo do lado do servidor61 para contornar os mecanismos de detecção baseados em assinatura. Se fosse bem-sucedido, o exploit entregaria uma carga útil de estágio seguinte.
A campanha ocorreu pela primeira vez em dezembro de 2022. Em março de 2023, a equipe de Pesquisa e Inteligência sobre Ameaças do BlackBerry descobriu evidências de uma campanha adicional do SideWinder direcionada à Turquia. O momento dessa campanha coincidiu com eventos geopolíticos na região, especialmente o apoio público da Turquia ao Paquistão em sua disputa com a Índia sobre a Caxemira.62
Implantes iniciais e análise de rede sugerem que a operação da cadeia de suprimentos da 3CX remonta ao outono de 2022
No final de março de 2023, o fornecedor de comunicação empresarial 3CX anunciou63 uma grande violação de segurança que resultou na distribuição mundial de versões troianizadas de seu software VOIP, o 3CXDesktopApp.
O 3CXDesktopApp é um produto de conferência de voz e vídeo amplamente utilizado para chamadas, vídeo e bate-papo ao vivo. O site da empresa afirma que a 3CX tem aproximadamente 600.000 empresas clientes, com mais de 12 milhões de usuários diários em 190 países.64
A 3CX anunciou65 a violação no dia seguinte ao ataque. Em uma atualização posterior sobre o incidente,66 a 3CX declarou que o agente de ameaças UNC4736, afiliado à Coreia do Norte, estava por trás do ataque, que implantou o malware Taxhaul (também conhecido como TxRLoader) em conjunto com o downloader Coldcat.
O malware foi inicialmente entregue por um instalador malicioso que apareceu como um arquivo de dependência comprometido que permitiu que os arquivos troianizados fossem assinados e aparecessem como arquivos legítimos do fornecedor.
BlackBerry A telemetria e a análise das amostras iniciais e da infraestrutura de rede correspondente indicam que a operação começou entre o verão e o início do outono de 2022. O ataque afetou os setores de saúde, farmacêutico, TI e financeiro na Austrália, nos Estados Unidos e no Reino Unido.
A NOBELIUM usa a visita do embaixador da Polônia aos EUA para atacar os governos da UE que ajudam a Ucrânia
No início de março, BlackBerry pesquisadores observaram campanhas direcionadas a entidades europeias pelo agente de ameaças patrocinado pelo Estado russo conhecido como NOBELIUM (APT29), que é publicamente vinculado ao serviço de inteligência estrangeira russo SVR.
O grupo criou iscas personalizadas visando pessoas interessadas na viagem do embaixador polonês Marek Magierowksi a Washington, D.C. para discutir a guerra em curso na Ucrânia. Outra isca foi projetada para abusar dos sistemas legítimos LegisWrite e eTrustEx, que as nações da UE usam para troca de informações e transferência segura de dados.
As iscas foram projetadas para induzir a vítima a fazer o download de um arquivo HTML malicioso chamado EnvyScout.67 A ferramenta usa uma técnica de contrabando de HTML para fornecer outros componentes maliciosos (geralmente como um arquivo ISO ou IMG) para a máquina da vítima, que então rouba informações confidenciais. A sobreposição entre a visita do embaixador polonês aos EUA e a isca usada nos ataques fornece evidências de que o NOBELIUM usa eventos geopolíticos para atrair as vítimas e aumentar a probabilidade de uma infecção bem-sucedida.
Do abuso do Google Ads a uma campanha maciça de spearphishing que se faz passar pela agência fiscal da Espanha
No início de abril de 2023, a equipe de Pesquisa e Inteligência sobre Ameaças do site BlackBerry publicou as descobertas de vários meses de rastreamento de duas campanhas mal-intencionadas que aproveitaram o typosquatting68 para objetivos e finalidades diferentes.
A primeira, uma campanha de malvertising69 que abusava da plataforma do Google Ads, estava em operação há pelo menos vários meses. Versões falsas e troianizadas de softwares comuns, como Libre Office, AnyDesk, TeamViewer e Brave, forneciam infostealers de commodities, incluindo Vidar e IcedID. Para enganar vítimas desavisadas, o agente da ameaça clonou sites legítimos e atribuiu nomes de domínio que usavam typosquatting para imitar os URLs dos sites reais.
A segunda campanha foi uma campanha de spearphishing direcionada em grande escala que imitava a agência fiscal nacional da Espanha. A campanha tentou roubar credenciais de e-mail de vítimas de setores importantes, como tecnologia, construção, energia, agricultura, consultoria, governo, automotivo, saúde e finanças.
Vulnerabilidade PaperCut RCE fortemente explorada por agentes de ameaças
Em março de 2023, uma falha de execução remota de código (RCE) nas versões 8.0 e superiores do PaperCut NG/MF foi divulgada publicamente.70 O PaperCut é um desenvolvedor de software de gerenciamento de impressão cujos produtos são usados em todo o mundo. A vulnerabilidade (rastreada como CVE-2023-27350)71 foi corrigida desde então, mas, por estar disponível como prova de conceito (POC) pública e ser difícil de detectar, a falha de RCE é um vetor de infecção ideal para que os agentes de ameaças violem sistemas que executam versões não corrigidas do software vulnerável.
Os operadores do ransomware Bl00dy têm aproveitado essa falha para atingir72 entidades do setor educacional. As gangues Clop e LockBit também foram vistas atacando servidoresvulneráveis73 e, no início de maio, a Microsoft divulgou74 que observou vários grupos APT patrocinados pelo estado iraniano, incluindo Mango Sandstorm e Mint Sandstorm, explorando ativamente a vulnerabilidade.
Operação de malware de espionagem russa desmantelada por agentes da lei
Em um duro golpe contra as capacidades de espionagem cibernética da Rússia, o Departamento de Justiça dos EUA anunciou75 no início de maio que a infraestrutura usada pelo famoso agente de ameaças Turla havia sido desmantelada. O grupo, que tem sido ligado ao Serviço Federal de Segurança da Federação Russa (FSB), usou um sofisticado infostealer chamado Snake para obter documentos confidenciais de estados da Organização do Tratado do Atlântico Norte (OTAN) e das Nações Unidas. A infraestrutura do Snake incluía um botnet encontrado em sistemas infectados em pelo menos 50 países, incluindo membros da OTAN, e supostamente foi abusado por mais de 20 anos.
Em resposta à descoberta, o FBI desenvolveu um utilitário apropriadamente chamado Perseus (um herói grego e matador de monstros). O Perseus desativa o malware Snake sem danificar os sistemas infectados.
Novo grupo de ameaça "Rhysida" ataca o Exército do Chile
No final de maio de 2023, foi divulgado um ataque de ransomware contra o exército do Chile (Ejercito de Chile) por um novo grupo de ameaças chamado Rhysida.76 Os detalhes do ataque não foram totalmente divulgados, mas um cabo do exército foi preso77 por suposto envolvimento no ataque de ransomware.
A equipe de Pesquisa e Inteligência de Ameaças do site BlackBerry encontrou indicadores de comprometimento (IoCs) que indicam que a Rhysida está nos estágios iniciais de desenvolvimento. A análise da amostra indica que o grupo executou um arquivo .exe por meio do PowerShell. Esse arquivo executável portátil (PE) tenta modificar o papel de parede da área de trabalho do usuário por meio de chaves de registro; criptografa arquivos usando um algoritmo XOR e AES; e adiciona a extensão Rhysida a arquivos criptografados (para evitar a criptografia de pastas do sistema operacional que interromperiam o funcionamento do sistema). Também foi observada a injeção de processos no Explorer.
Depois disso, é colocada uma nota de resgate chamada "CriticalBreachDetected.pdf" que contém informações sobre como entrar em contato com o grupo por meio de um portal TOR. O grupo solicita um resgate a ser pago em Bitcoin (BTC). Se a vítima concordar em pagar, ela deverá fornecer uma identificação e preencher um formulário adicional para ser contatada pelo grupo.
Técnicas comuns do MITRE
Compreender as técnicas de alto nível dos grupos de ameaças pode ajudar a decidir quais técnicas de detecção devem ser priorizadas. O site BlackBerry observou as seguintes 20 principais técnicas sendo usadas por agentes de ameaças.
Uma seta para cima na última coluna indica que o uso da técnica aumentou desde nosso último relatório. Uma seta para baixo indica que o uso diminuiu desde nosso último relatório. Um símbolo de igual (=) significa que a técnica permanece na mesma posição que em nosso último relatório.
A lista completa das técnicas do MITRE está disponível no GitHub público do Threat Research and Intelligence.
| Nome da técnica | ID da técnica | Tática | Último relatório | Mudança |
|---|---|---|---|---|
|
1. Descoberta de informações do sistema
|
T1082
|
Descoberta
|
1
|
=
|
|
2. Virtualização/ Evasão de sandbox
|
T1497
|
Evasão da defesa
|
3
|
↑
|
|
3. Descoberta de software de segurança
|
T1518.001
|
Descoberta
|
4
|
↑
|
|
4. Injeção de processo
|
T1055
|
Evasão da defesa
|
2
|
↓
|
|
5. Mascaramento
|
T1036
|
Evasão da defesa
|
5
|
=
|
|
6. Descoberta de sistema remoto
|
T1018
|
Descoberta
|
6
|
=
|
|
7. Protocolo da camada de aplicativos
|
T1071
|
Comando e controle
|
7
|
=
|
|
8. Descoberta de arquivos e diretórios
|
T1083
|
Descoberta
|
8
|
=
|
|
9. Protocolo que não é da camada de aplicativos
|
T1095
|
Comando e controle
|
9
|
=
|
|
10. Descoberta de processos
|
T1057
|
Descoberta
|
10
|
=
|
|
11. Captura de entrada
|
T1056
|
Coleção
|
13
|
↑
|
|
12. Carregamento lateral de DLL
|
T1574.002
|
Persistência
|
12
|
↓
|
|
13. Embalagem de software
|
T1027.002
|
Evasão da defesa
|
14
|
↑
|
|
14. Interpretador de comandos e scripts
|
T1059
|
Execução
|
12
|
↓
|
|
15. Chaves de execução do registro/Pasta de inicialização
|
T1547.001
|
Persistência
|
19
|
↑
|
|
16. Canal criptografado
|
T1573
|
Comando e controle
|
17
|
↑
|
|
17. Desativar ou modificar ferramentas
|
T1562.001
|
Evasão da defesa
|
15
|
↓
|
|
18. Rundll32
|
T1218.011
|
Evasão da defesa
|
16
|
↓
|
|
19. Arquivos ou informações ofuscados
|
T1027
|
Evasão da defesa
|
18
|
↓
|
|
20. Descoberta da janela do aplicativo
|
T1010
|
Descoberta
|
20
|
=
|
| ID da técnica | |
|---|---|
| 1. Descoberta de informações do sistema |
T1082
|
| 2. Virtualização/ Evasão de sandbox |
T1497
|
| 3. Descoberta de software de segurança |
T1518.001
|
| 4. Injeção de processo |
T1055
|
| 5. Mascaramento |
T1036
|
| 6. Descoberta de sistema remoto |
T1018
|
| 7. Protocolo da camada de aplicativos |
T1071
|
| 8. Descoberta de arquivos e diretórios |
T1083
|
| 9. Protocolo que não é da camada de aplicativos |
T1095
|
| 10. Descoberta de processos |
T1057
|
| 11. Captura de entrada |
T1056
|
| 12. Carregamento lateral de DLL |
T1574.002
|
| 13. Embalagem de software |
T1027.002
|
| 14. Interpretador de comandos e scripts |
T1059
|
| 15. Chaves de execução do registro/Pasta de inicialização |
T1547.001
|
| 16. Canal criptografado |
T1573
|
| 17. Desativar ou modificar ferramentas |
T1562.001
|
| 18. Rundll32 |
T1218.011
|
| 19. Arquivos ou informações ofuscados |
T1027
|
| 20. Descoberta da janela do aplicativo |
T1010
|
| Tática | |
|---|---|
| 1. Descoberta de informações do sistema |
Descoberta
|
| 2. Virtualização/ Evasão de sandbox |
Evasão da defesa
|
| 3. Descoberta de software de segurança |
Descoberta
|
| 4. Injeção de processo |
Evasão da defesa
|
| 5. Mascaramento |
Evasão da defesa
|
| 6. Descoberta de sistema remoto |
Descoberta
|
| 7. Protocolo da camada de aplicativos |
Comando e controle
|
| 8. Descoberta de arquivos e diretórios |
Descoberta
|
| 9. Protocolo que não é da camada de aplicativos |
Comando e controle
|
| 10. Descoberta de processos |
Descoberta
|
| 11. Captura de entrada |
Coleção
|
| 12. Carregamento lateral de DLL |
Persistência
|
| 13. Embalagem de software |
Evasão da defesa
|
| 14. Interpretador de comandos e scripts |
Execução
|
| 15. Chaves de execução do registro/Pasta de inicialização |
Persistência
|
| 16. Canal criptografado |
Comando e controle
|
| 17. Desativar ou modificar ferramentas |
Evasão da defesa
|
| 18. Rundll32 |
Evasão da defesa
|
| 19. Arquivos ou informações ofuscados |
Evasão da defesa
|
| 20. Descoberta da janela do aplicativo |
Descoberta
|
| Último relatório | |
|---|---|
| 1. Descoberta de informações do sistema |
1
|
| 2. Virtualização/ Evasão de sandbox |
3
|
| 3. Descoberta de software de segurança |
4
|
| 4. Injeção de processo |
2
|
| 5. Mascaramento |
5
|
| 6. Descoberta de sistema remoto |
6
|
| 7. Protocolo da camada de aplicativos |
7
|
| 8. Descoberta de arquivos e diretórios |
8
|
| 9. Protocolo que não é da camada de aplicativos |
9
|
| 10. Descoberta de processos |
10
|
| 11. Captura de entrada |
13
|
| 12. Carregamento lateral de DLL |
12
|
| 13. Embalagem de software |
14
|
| 14. Interpretador de comandos e scripts |
12
|
| 15. Chaves de execução do registro/Pasta de inicialização |
19
|
| 16. Canal criptografado |
17
|
| 17. Desativar ou modificar ferramentas |
15
|
| 18. Rundll32 |
16
|
| 19. Arquivos ou informações ofuscados |
18
|
| 20. Descoberta da janela do aplicativo |
20
|
| Mudança | |
|---|---|
| 1. Descoberta de informações do sistema |
=
|
| 2. Virtualização/ Evasão de sandbox |
↑
|
| 3. Descoberta de software de segurança |
↑
|
| 4. Injeção de processo |
↓
|
| 5. Mascaramento |
=
|
| 6. Descoberta de sistema remoto |
=
|
| 7. Protocolo da camada de aplicativos |
=
|
| 8. Descoberta de arquivos e diretórios |
=
|
| 9. Protocolo que não é da camada de aplicativos |
=
|
| 10. Descoberta de processos |
=
|
| 11. Captura de entrada |
↑
|
| 12. Carregamento lateral de DLL |
↓
|
| 13. Embalagem de software |
↑
|
| 14. Interpretador de comandos e scripts |
↓
|
| 15. Chaves de execução do registro/Pasta de inicialização |
↑
|
| 16. Canal criptografado |
↑
|
| 17. Desativar ou modificar ferramentas |
↓
|
| 18. Rundll32 |
↓
|
| 19. Arquivos ou informações ofuscados |
↓
|
| 20. Descoberta da janela do aplicativo |
=
|
Contramedidas e correções aplicadas
Técnicas de detecção
A equipe de Pesquisa e Inteligência sobre Ameaças do BlackBerry identificou 386 regras Sigma públicas que detectaram comportamentos relacionados a ameaças nas 224.851 amostras exclusivas interrompidas pelas soluções de segurança cibernética do BlackBerry nesse período do relatório. A Figura 4 mostra as 10 principais regras Sigma que detectaram os comportamentos mais maliciosos.
| Regra Sigma | Descrição | Técnica MITRE ATT&CK | Tática MITRE ATT&CK | Último relatório | Mudança |
|---|---|---|---|---|---|
|
1. Criação de um executável por um executável
|
Detecta a criação de um executável por outro executável
|
Desenvolver recursos: Malware - T1587.001
|
Desenvolvimento de recursos
|
1
|
=
|
|
2. Modificação das chaves de execução automática do Wow6432Node CurrentVersion
|
Detecta a modificação do ponto de extensibilidade de inicialização automática (ASEP) no registro
|
Execução de inicialização ou logon automático: Chaves de execução do registro / Pasta de inicialização - T1547.001
|
Persistência
|
2
|
=
|
|
3. Modificação das chaves de execução automática da versão atual
|
Detecta a modificação do ponto de extensibilidade de inicialização automática (ASEP) no registro
|
Execução de inicialização ou logon automático: Chaves de execução do registro / Pasta de inicialização - T1547.001
|
Persistência
|
6
|
↑
|
|
4. Criação de processos usando o Sysnative Folder
|
Detecta eventos de criação de processos que usam a pasta Sysnative (comum para spawns do Cobalt Strike)
|
Injeção de processo - T1055
|
Evasão da defesa
|
3
|
↓
|
|
5. Início do processo a partir da pasta suspeita
|
Detecta o início do processo a partir de pastas raras ou incomuns, como pastas ou pastas temporárias
|
Execução do usuário - T1204
|
Execução
|
5
|
=
|
|
6. Desativar o Firewall do Microsoft Defender por meio do Registro
|
Os adversários podem desativar ou modificar os firewalls do sistema para contornar os controles que limitam o uso da rede
|
Prejudicar as defesas: Desativar ou modificar o firewall do sistema - T1562.004
|
Evasão da defesa
|
7
|
↑
|
|
7. Chamada suspeita por ordinal
|
Detecta chamadas suspeitas de DLLs em exportações rundll32.dll por valor ordinal
|
Execução de proxy binário do sistema: Rundll32 - T1218.011
|
Evasão da defesa
|
9
|
↑
|
|
8. Criar tarefa agendada no PowerShell
|
Os invasores podem abusar do Agendador de Tarefas do Windows para realizar o agendamento de tarefas para a execução inicial ou recorrente de códigos maliciosos
|
Tarefa programada/Job: Tarefa programada - T1053.005
|
Persistência
|
8
|
=
|
|
9. Execução suspeita do Taskkill
|
Os adversários podem interromper serviços ou processos para realizar a destruição de dados ou a criptografia de dados para impacto nos armazenamentos de dados de serviços como o Exchange e o SQL Server.
|
Parada de serviço - T1489
|
Impacto
|
NA
|
↑
|
|
10. Execução do Net.exe
|
Detecta a execução do utilitário Net.exe do Windows, seja ele suspeito ou benigno
|
Várias técnicas:
Descoberta de grupos de permissões - T1069 Descoberta de contas - T1087 Descoberta de serviços do sistema - T1007 |
Descoberta
|
NA
|
↑
|
| Descrição | |
|---|---|
| 1. Criação de um executável por um executável |
Detecta a criação de um executável por outro executável
|
| 2. Modificação das chaves de execução automática do Wow6432Node CurrentVersion |
Detecta a modificação do ponto de extensibilidade de inicialização automática (ASEP) no registro
|
| 3. Modificação das chaves de execução automática da versão atual |
Detecta a modificação do ponto de extensibilidade de inicialização automática (ASEP) no registro
|
| 4. Criação de processos usando o Sysnative Folder |
Detecta eventos de criação de processos que usam a pasta Sysnative (comum para spawns do Cobalt Strike)
|
| 5. Início do processo a partir da pasta suspeita |
Detecta o início do processo a partir de pastas raras ou incomuns, como pastas ou pastas temporárias
|
| 6. Desativar o Firewall do Microsoft Defender por meio do Registro |
Os adversários podem desativar ou modificar os firewalls do sistema para contornar os controles que limitam o uso da rede
|
| 7. Chamada suspeita por ordinal |
Detecta chamadas suspeitas de DLLs em exportações rundll32.dll por valor ordinal
|
| 8. Criar tarefa agendada no PowerShell |
Os invasores podem abusar do Agendador de Tarefas do Windows para realizar o agendamento de tarefas para a execução inicial ou recorrente de códigos maliciosos
|
| 9. Execução suspeita do Taskkill |
Os adversários podem interromper serviços ou processos para realizar a destruição de dados ou a criptografia de dados para impacto nos armazenamentos de dados de serviços como o Exchange e o SQL Server.
|
| 10. Execução do Net.exe |
Detecta a execução do utilitário Net.exe do Windows, seja ele suspeito ou benigno
|
| Técnica MITRE ATT&CK | |
|---|---|
| 1. Criação de um executável por um executável |
Desenvolver recursos: Malware - T1587.001
|
| 2. Modificação das chaves de execução automática do Wow6432Node CurrentVersion |
Execução de inicialização ou logon automático: Chaves de execução do registro / Pasta de inicialização - T1547.001
|
| 3. Modificação das chaves de execução automática da versão atual |
Execução de inicialização ou logon automático: Chaves de execução do registro / Pasta de inicialização - T1547.001
|
| 4. Criação de processos usando o Sysnative Folder |
Injeção de processo - T1055
|
| 5. Início do processo a partir da pasta suspeita |
Execução do usuário - T1204
|
| 6. Desativar o Firewall do Microsoft Defender por meio do Registro |
Prejudicar as defesas: Desativar ou modificar o firewall do sistema - T1562.004
|
| 7. Chamada suspeita por ordinal |
Execução de proxy binário do sistema: Rundll32 - T1218.011
|
| 8. Criar tarefa agendada no PowerShell |
Tarefa programada/Job: Tarefa programada - T1053.005
|
| 9. Execução suspeita do Taskkill |
Parada de serviço - T1489
|
| 10. Execução do Net.exe |
Várias técnicas:
Descoberta de grupos de permissões - T1069 Descoberta de contas - T1087 Descoberta de serviços do sistema - T1007 |
| Tática MITRE ATT&CK | |
|---|---|
| 1. Criação de um executável por um executável |
Desenvolvimento de recursos
|
| 2. Modificação das chaves de execução automática do Wow6432Node CurrentVersion |
Persistência
|
| 3. Modificação das chaves de execução automática da versão atual |
Persistência
|
| 4. Criação de processos usando o Sysnative Folder |
Evasão da defesa
|
| 5. Início do processo a partir da pasta suspeita |
Execução
|
| 6. Desativar o Firewall do Microsoft Defender por meio do Registro |
Evasão da defesa
|
| 7. Chamada suspeita por ordinal |
Evasão da defesa
|
| 8. Criar tarefa agendada no PowerShell |
Persistência
|
| 9. Execução suspeita do Taskkill |
Impacto
|
| 10. Execução do Net.exe |
Descoberta
|
| Último relatório | |
|---|---|
| 1. Criação de um executável por um executável |
1
|
| 2. Modificação das chaves de execução automática do Wow6432Node CurrentVersion |
2
|
| 3. Modificação das chaves de execução automática da versão atual |
6
|
| 4. Criação de processos usando o Sysnative Folder |
3
|
| 5. Início do processo a partir da pasta suspeita |
5
|
| 6. Desativar o Firewall do Microsoft Defender por meio do Registro |
7
|
| 7. Chamada suspeita por ordinal |
9
|
| 8. Criar tarefa agendada no PowerShell |
8
|
| 9. Execução suspeita do Taskkill |
NA
|
| 10. Execução do Net.exe |
NA
|
| Mudança | |
|---|---|
| 1. Criação de um executável por um executável |
=
|
| 2. Modificação das chaves de execução automática do Wow6432Node CurrentVersion |
=
|
| 3. Modificação das chaves de execução automática da versão atual |
↑
|
| 4. Criação de processos usando o Sysnative Folder |
↓
|
| 5. Início do processo a partir da pasta suspeita |
=
|
| 6. Desativar o Firewall do Microsoft Defender por meio do Registro |
↑
|
| 7. Chamada suspeita por ordinal |
↑
|
| 8. Criar tarefa agendada no PowerShell |
=
|
| 9. Execução suspeita do Taskkill |
↑
|
| 10. Execução do Net.exe |
↑
|
Sigma Rule: Execução do Net.exe
Relacionado ao evento Sysmon ID 1 Criação de processo. Essa regra Sigma identifica execuções com linhas de comando específicas. Entre os comportamentos interessantes que observamos estão os seguintes:
Processo pai de \AppData\Local\ executando
> C:\\Windows\\\system32\\net.exe view
Processo pai de \AppData\Local\ executando
> net stop "TeamViewer"
Processo pai C:\Windows\SysWOW64\cmd.exe em execução
> usuário líquido
Processo pai de \AppData\Local\ executando
> net group "Domain Admins" /domain
Sigma Rule: Execução suspeita de Taskkill
Também relacionada ao Sysmon Event ID 1 Process Creation, a meta dessa regra Sigma é identificar comportamentos relacionados a processos "kill" no sistema.
> taskkill /F /IM chrome.exe /T> taskkill /f /t /im <FILENAME>.exe> taskkill /im google* /f /t
A maioria dos comportamentos observados incluía o sinalizador /F, o que significa que o processo será forçado a terminar. O sinalizador /T significa que qualquer processo filho também será encerrado. Por fim, o parâmetro /IM especifica o nome da imagem do processo a ser encerrado, e curingas (*) são permitidos.
Regra Sigma: Início do processo a partir de uma pasta suspeita
Essa regra Sigma indica processos que são iniciados a partir de pastas incomuns no sistema operacional. A seguir, um exemplo de pastas comuns:
> C:\Users\<USER>\AppData\Local\Temp\> C:\Windows\Temp\
As pastas incomuns que correspondem a essa regra Sigma incluem:
> C:\Usuários\Público\Bibliotecas(Usado por RomCom e outros atores de ameaças)> C:\Users\Public\> C:\Users\<USER>\AppData\Local\Temp\~[a-zA-Z]+\.tmp\ (Regular Expression ~[a-zA-Z]+\.tmp)
Sigma para MITRE
Sigma é um formato de assinatura aberto, baseado em texto, que pode descrever eventos e padrões de registro. As regras Sigma normalmente são mapeadas para técnicas MITRE, e várias técnicas MITRE podem ser mapeadas para uma regra Sigma individual. Durante o período do relatório, 386 regras Sigma detectaram comportamento malicioso em mais de 220.000 amostras de malware novas e exclusivas.
Mapeando-os de volta às técnicas do MITRE, não vemos uma correlação direta com as "Técnicas comuns do MITRE" deste período do relatório.
As cinco principais técnicas da MITRE observadas nas regras Sigma estão listadas abaixo.
| Técnica | Número de regras Sigma |
|---|---|
|
Execução de inicialização ou logon automático: Chaves de execução do registro / Pasta de inicialização - T1547.001
|
14
|
|
Prejudicar as defesas: Desativar ou modificar ferramentas - T1562.001
|
11
|
|
Interpretador de comandos e scripts: PowerShell - T1059.001
|
10
|
|
Interpretador de comandos e scripts - T1059
|
9
|
|
Tarefa programada/trabalho: Tarefa programada - T1053.005
|
9
|
| Número de regras Sigma | |
|---|---|
| Execução de inicialização ou logon automático: Chaves de execução do registro / Pasta de inicialização - T1547.001 |
14
|
| Prejudicar as defesas: Desativar ou modificar ferramentas - T1562.001 |
11
|
| Interpretador de comandos e scripts: PowerShell - T1059.001 |
10
|
| Interpretador de comandos e scripts - T1059 |
9
|
| Tarefa programada/trabalho: Tarefa programada - T1053.005 |
9
|
Conclusão
O aumento de 13% nas amostras maliciosas exclusivas direcionadas aos nossos clientes demonstra os esforços dos agentes de ameaças para diversificar as ferramentas de compilação. Esse processo produz hashes diferentes para amostras semelhantes que podem ser usadas para contornar feeds e filtros simples usados por centros de operações de segurança (SOCs) tradicionais.
O APT28 e o Lazarus Group foram dois dos agentes de ameaças mais ativos que visaram nossos clientes durante o período do relatório. Acredita-se que ambos sejam patrocinados pelo Estado, com o APT28 ligado à Rússia e o Lazarus ligado à Coreia do Norte. Esses dois grupos têm um longo histórico de ataques ao Ocidente, com foco específico nos Estados Unidos, na Europa e na Coreia do Sul. Seus alvos incluem agências governamentais, organizações militares, empresas e instituições financeiras. Ambos os grupos representam uma séria ameaça à segurança nacional e à prosperidade econômica. Como esses grupos estão constantemente evoluindo suas técnicas para dificultar a defesa, as organizações devem estar cientes dos TTPs mais recentes desses agentes de ameaças e incluí-los em exercícios de equipe para aumentar as estratégias defensivas e aplicar contramedidas.
As instituições financeiras e de saúde foram os setores mais visados durante o período do relatório. Os infostealers que roubam e comercializam credenciais roubadas foram as explorações mais comuns contra os setores financeiro e de saúde. No entanto, também vimos ataques de alto nível a hospitais e organizações financeiras ligadas a esforços de ajuda na Ucrânia. Por exemplo, grupos de ameaças cibernéticas, como o RomCom, atacaram entidades médicas sediadas nos EUA que forneciam ajuda humanitária a refugiados da Ucrânia.
O ransomware continua sendo uma ameaça constante para as instituições financeiras e de saúde. Com base em nossa telemetria deste e do período do relatório anterior, é provável que esses dois setores continuem sendo muito visados.
Ao trabalhar com as amostras desse período do relatório, confirmamos que as táticas usadas com mais frequência são a descoberta e a evasão de defesa. É fundamental priorizar a detecção dessas táticas em uma rede. Ao conhecer essas TTPs e os perfis dos atores de ameaças, uma equipe de segurança cibernética pode reduzir significativamente o impacto dos ataques, além de ajudar na caça às ameaças, na resposta a incidentes e nos esforços de recuperação.
Previsões
- No final de maio, a empresa de software Progress Software informou os clientes sobre uma vulnerabilidade em seu produto MOVEit Transfer78.* A vulnerabilidade (CVE-2023-3436279) pode ser explorada por meio de injeção de SQL e pode levar ao aumento de privilégios e a uma violação do sistema. A vulnerabilidade tem sido muito explorada em sistemas não corrigidos, principalmente pela gangue do ransomware Clop, que a utilizou para supostamente violar centenas de organizações. Prevemos que os agentes de ameaças continuarão a tentar explorar essa vulnerabilidade até que todos os sistemas vulneráveis sejam corrigidos.81
- Pesquisas recentes82 indicam que o valor do mercado global de serviços bancários móveis deve chegar a US$ 1,82 bilhão em 2026, e tendências como o aumento dos neobancos83 indicam que o uso de serviços bancários digitais e móveis provavelmente continuará a crescer na próxima década. Infelizmente, esse crescimento provavelmente será acompanhado por um aumento de malware bancário móvel. Vários eventos alarmantes84 ocorreram nos últimos meses, incluindo um novo botnet para Android que teve como alvo aproximadamente 450 aplicativos financeiros.85 O malware centrado em smartphones provavelmente aumentará à medida que os agentes de ameaças tentarem explorar os consumidores que são grandes usuários de serviços bancários on-line.
- Campanhas de phishing estão se tornando mais sofisticadas em seus esforços para evitar a detecção. Nos últimos meses, foram registrados números crescentes de novos domínios da Web que atuam como proxies antes de fornecer conteúdo malicioso. O uso de proxies e geofencing para atingir vítimas em um país ou região específicos dificulta a detecção precoce de sites fraudulentos. Esses tipos de campanhas de phishing aumentarão, proporcionando aos phishers mais tempo operacional para obter informações de suas vítimas antes de serem detectados.
- A IA generativa, como o ChatGPT, apresenta às organizações um possível problema de segurança cibernética. O ChatGPT já foi usado para gerar novos malwares - por exemplo, os pesquisadores do HYAS Labs criaram oBlackMamba86, um keylogger polimórfico de prova de conceito que altera automaticamente seu código para evitar a detecção, explorando um modelo de linguagem grande (LLM) - a tecnologia na qual o ChatGPT se baseia. Os agentes de ameaças também estão explorando o interesse global no ChatGPT para induzir o público a instalar o malware. Por exemplo, cerca de 2.000 pessoas por dia instalaram uma extensão de navegador maliciosa chamada Quick access to ChatGPT87 que coletava informações de contas do Facebook Business. Prevemos que o ChatGPT continuará a apresentar ameaças inovadoras em um ritmo crescente à medida que 2023 avança.
Para saber mais sobre como o BlackBerry pode proteger sua organização, visite https://www.blackberry.com.
Isenção de responsabilidade legal
As informações contidas no Relatório de Inteligência sobre Ameaças Globais 2023 BlackBerry destinam-se apenas a fins educacionais. O site BlackBerry não garante nem se responsabiliza pela precisão, integridade e confiabilidade de quaisquer declarações ou pesquisas de terceiros aqui mencionadas. A análise expressa neste relatório reflete o entendimento atual das informações disponíveis por parte de nossos analistas de pesquisa e pode estar sujeita a alterações à medida que informações adicionais forem divulgadas. Os leitores são responsáveis por exercer sua própria diligência ao aplicar essas informações em suas vidas privadas e profissionais. O site BlackBerry não tolera qualquer uso malicioso ou indevido das informações apresentadas neste relatório.
© 2023 BlackBerry Limited. As marcas comerciais, incluindo, entre outras, BLACKBERRY, EMBLEM Design e Cylance são marcas comerciais ou marcas registradas da BlackBerry Limited, e os direitos exclusivos sobre essas marcas comerciais são expressamente reservados. Todas as outras marcas comerciais são de propriedade de seus respectivos donos.
Agradecimentos
O Relatório de Inteligência sobre Ameaças Globais 2023 BlackBerry representa os esforços de colaboração de nossas equipes e indivíduos talentosos. Em especial, gostaríamos de reconhecer:
Referências
2 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
4 https://www.reuters.com/world/europe/poland-says-russian-hackers-attacked-tax-website-2023-03-01/
5 https://www.thefirstnews.com/article/cyber-attacks-have-become-commonplace-says-govt-official-36902
6 https://www.reuters.com/world/africa/senegalese-government-websites-hit-with-cyberattack-2023-05-27/
7 https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
8 https://www.fraudsmart.ie/personal/fraud-scams/phone-fraud/identity-theft/
9 https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
10 https://www.clinicbarcelona.org/en/news/computer-attack-on-the-frcb-idibaps
14 https://twitter.com/vxunderground/status/1632464810863390721
16 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
24 https://darktrace.com/blog/living-off-the-land-how-hackers-blend-into-your-environment
25 https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant
26 https://www.ncsc.gov.uk/news/heightened-threat-of-state-aligned-groups
27 https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2023-2024
28 https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
29 https://www.cyber.gc.ca/sites/default/files/cyber-threat-oil-gas-e.pdf
30 https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
37 https://attack.mitre.org/groups/G0032/
38 https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf
39 https://www.cisa.gov/news-events/analysis-reports/ar20-133a
40 https://attack.mitre.org/software/S0154/
42 https://archive.f-secure.com/weblog/archives/00002356.html
44 https://www.theverge.com/2021/5/18/22440813/android-devices-active-number-smartphones-google-2021
46 https://cyware.com/news/spynote-infections-on-the-rise-after-source-code-leak-c5d36dce
47 https://www.threatfabric.com/blogs/spynote-rat-targeting-financial-institutions
48 https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc
50 https://news.drweb.com/show/?i=14705&lng=en
51 https://www.scamwatch.gov.au/types-of-scams/buying-or-selling/mobile-premium-services
52 https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/
54 https://blog.talosintelligence.com/prometei-botnet-improves/
55 https://unit42.paloaltonetworks.com/trigona-ransomware-update/
56 https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/
57 https://www.rsaconference.com/library/presentation/usa/2023/macOS
58 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/
59 https://attack.mitre.org/groups/G0121/
60 https://nvd.nist.gov/vuln/detail/cve-2017-0199
61 https://nakedsecurity.sophos.com/2012/07/31/server-side-polymorphism-malware/
63 https://www.3cx.com/blog/news/desktopapp-security-alert/
65 https://www.3cx.com/blog/news/desktopapp-security-alert/
66 https://www.3cx.com/blog/news/mandiant-initial-results/
67 https://attack.mitre.org/software/S0634/
68 https://support.microsoft.com/en-us/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
69 https://www.cisecurity.org/insights/blog/malvertising
70 https://www.papercut.com/blog/news/rce-security-exploit-in-papercut-servers/
71 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27350
72 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a
74 https://twitter.com/MsftSecIntel/status/1654610012457648129
76 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
77 https://izoologic.com/2023/06/19/rhysida-ransomware-exposes-stolen-data-from-the-chilean-army/
78 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
79 https://nvd.nist.gov/vuln/detail/CVE-2023-34362
81 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
82 https://www.alliedmarketresearch.com/mobile-banking-market
83 https://www.bankrate.com/banking/what-is-a-neobank/
84 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
85 https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet#3
86 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security
*Uma correção para a vulnerabilidade de 31 de maio foi disponibilizada 48 horas após a descoberta. Para obter mais detalhes, leia https://www.ipswitch.com/blog/update-steps-we-are-taking-protect-moveit-customers.