ISH Tecnologia revela as principais vulnerabilidades e ransomwares do primeiro semestre de 2023

Ransomwares registram 1480 invasões bem-sucedidas no período; domínios governamentais e de saúde são alvos recorrentes

Salvador, 04/072023 – A ISH Tecnologia, referência nacional em cibersegurança, divulga um relatório dos ransomwares e vulnerabilidades que mais tiveram sucesso ao atacar empresas no primeiro semestre de 2023. Ao todo, foram detectadas seis vulnerabilidades consideradas de pontuação crítica pelos especialistas, e ransomwares que ao todo, registraram cerca de 1480 invasões bem-sucedidas em domínios institucionais, sequestrando dados bancários, criptografando informações confidenciais entre outros diversos dados.

Caique Barqueta, Especialista em Inteligência de Ameaças da ISH Tecnologia diz que mesmo que alguns dos ataques tenham sido detectados no início do ano, é preciso de muita atenção à eles no segundo semestre: “Mesmo com algumas vulnerabilidades e ransomwares tendo sido descobertos em janeiro, fevereiro e março, eles não foram completamente erradicados. Na verdade, seus números apenas crescem, isso porque seus criadores lançam constantes atualizações que vão apenas tornando-os atacantes mais sólidos, com um leque de maneiras de invasão e uma gama de contra-ataque contra serviços de segurança cibernética.”

Confira abaixo as vulnerabilidades e ransomwares que foram ficando cada vez mais potentes no primeiro semestre de 2023:

Vulnerabilidades

EoP (Outlook): é uma exploração de toque zero, o que significa que a falha de segurança requer baixa complexidade para abuso e não requer interação do usuário.

O invasor envia uma mensagem para a vítima estendida com um caminho para um Server Message Block controlado pelo invasor remoto. Hospedado no servidor, a vulnerabilidade é explorada pelo invasor tendo a vítima visto a mensagem ou não.

PaperCut NG/MF: essa vulnerabilidade permite que os atacantes remotos ignorem a autenticação nas instalações afetadas do PaperCut. O problema resulta de controle de acesso impróprio. Um invasor pode aproveitar essa vulnerabilidade para ignorar a autenticação e executar um código arbitrário no sistema alvo, ou seja, resultando na infecção dos domínios e podendo haver instalações de diversos códigos que mudem completamente sua configuração.

MOVEit: o MOVEit Transfer, aplicativo de transferência de dados e configurações confidenciais de informações empresariais, possui uma vulnerabilidade de injeção de SQL em seu aplicativo web. Dependendo do mecanismo utilizado para o acesso do app, um invasor pode inferir informações sobre a estrutura e o conteúdo do banco de dados e executar instruções para compartilhar, alterar ou até mesmo excluir elementos presentes na conta do MOVEit.

Ransomwares registram 1480 invasões bem-sucedidas

Das invasões de sucesso citadas, dois ransomwares se destacaram: o LockBit3 e o Blackcat (AlphV) foram os dois tipos de cryptolockers que tiveram mais sucesso em invasões institucionais durante o ano.

Em primeiro lugar, o LockBit3 registra cerca de 526 operações de sucesso contra diferentes organizações pelo Brasil até o momento. Sendo um RaaS (Ransomware-as-a-Service), possui serviço de compra e venda na Deep e Dark Web e se diferencia por possuir várias técnicas de criptografias que foram sendo acopladas em suas constantes atualizações.

Tendo similaridades de código com o LockBit3, o BlackCat vem em segundo lugar na lista com cerca de 207 empresas vítimas de seus ataques.

O golpe, apesar de ter diferentes maneiras de execução, tem sempre o mesmo objetivo: atacar as credenciais de domínio e criptografar os outros dispositivos que estão conectados a esse mesmo núcleo (algumas vezes podendo até mesmo divulgando dados pessoais dos empregados que estão no sistema: como fotos, conversas, entre outros). Depois disso, o malware encerra as opções de backup, assim fazendo com que a empresa fique refém do ataque e tenha que pagar aos hackers o resgate de seu domínio e informações.

O BlackCat é um ransomware mundialmente conhecido por ser bastante efetivo em seus ataques e, justamente por conta dessa eficiência que outras famílias de ransomwares surgiram com códigos e modelos parecidos ao dele, como o ransomware Sphynx.

De acordo com a pesquisa feita pela equipe da ISH, os principais alvos desses malwares foram ataques às organizações do segmento de saúde e órgãos governamentais.

Apesar de bastante conhecidos no mundo de cibersegurança, o LockBit3 e o BlackCat são constantemente atualizados e tem seus dados e configurações utilizados como modelo na comunidade de invasores. Então, não esqueça deles para o segundo semestre do ano pois eles ainda são os principais ransomwares vistos na web.

Principais casos de junho

Clop: o ransomware Clop é extremamente recente no mercado de ransomwares e está colocado na quarta posição da lista de invasões feitas com êxito no semestre, com 137.

O Clop possui uma alta modificação das suas táticas, técnicas e procedimentos (TTPs) ao longo de sua operação, dificultando o rastreamento das operações e metodologias dos ataques. O Ransomware já utilizou e modificou por diversas vezes a sua cadeia de infecção, sendo que inicialmente, o ransomwares utilizou phishing, evoluindo para ataques de download de arquivos maliciosos e por fim a exploração constante de vulnerabilidades de acordo com relatório publicado pela Trend Micro.

DDoS no Outlook: no dia 5 e 6 de junho, o Outlook sofreu uma série de ataques que deixou o aplicativo bem instável. A autoria da instabilidade foi reivindicada pelo Anonymous Sudan, que impediu que usuários acessassem e enviassem e-mails a partir do app móvel do Outlook. O ataque DDoS foi utilizado pelos hacktivistas sudaneses para protestar contra o envolvimento dos EUA em assuntos internos do Sudão.

Últimas notícias

Educação
Abertas as inscrições para o Edital Ciência na Mesa 3

Formulário online está disponível no portal da Fapesb e prazo para submissão de propostas vai até 07 de junho de 2024 Salvador, 26/04/2024 – Pesquisadores ou pesquisadoras, com titulação de doutor ou mestre, interessados em submeter projetos de pesquisas inovadores para aplicação de novas tecnologias sociais de acesso à água ou de tecnologias já existentes, […]
Gov e Org
Instituições de fomento anunciam investimentos bilionários em inovação tecnológica

Salvador, 25/04/2024 – O ano de 2024 começou com promessas para empresas e instituições interessadas em impulsionar a inovação tecnológica. Governos federais e estaduais, juntamente com estatais, anunciaram investimentos bilionários em editais de subvenção econômica, com o objetivo de fomentar projetos inovadores. Neste cenário, o Instituto Nacional de Telecomunicações (Inatel), centro referência em ensino, pesquisa […]
Negócios
Ferrari e HP anunciam parceria de Naming Rights

Salvador, 25/04/2024 – A Ferrari e a HP anunciaram hoje uma parceria de naming rights histórica e plurianual. A colaboração representa o compromisso compartilhado de promover a inovação sustentável e acelerar tecnologias com propósito no time Scuderia Ferrari Formula 1, no time Scuderia Ferrari Esports e na Scuderia Ferrari Driver Academy. O logo HP vai […]
Negócios
Simpress fatura R$1.5 bilhão e se consolida como principal player de outsourcing de TI

Empresa tem o maior parque de dispositivos instalados em todo o país, com 600 mil equipamentos Salvador, 25/04/2024 – O faturamento da Simpress, empresa especializada em outsourcing de equipamentos de TI, registrou no ano passado um crescimento de 23% em relação a 2022, com R$1.550 bilhão. As áreas que mais se destacaram foram as de […]
Artigos
O que as empresas podem fazer para proteger os dados de seus clientes?

Prof. Dr. Marcelo Teixeira de Azevedo, docente e pesquisador na área de Redes e Segurança para os cursos de Ciência da Computação e Sistemas de Informação da Universidade Presbiteriana Mackenzie (Campus Alphaville) Salvador, 25/04/2024 – Ultimamente, tem sido cada vez mais comum o vazamento de dados, existindo diversos eventos do tipo no Brasil e no […]

Menu