Boletim semanal de cibersegurança 15-20 maio

Avisos de segurança QNAP

A QNAP emitiu dois avisos de segurança para alertar seus clientes sobre:

• A detecção de ataques recentes com o ransomware  eCh0raix, eles estariam apontando contra seus dispositivos NAS (Network Attached Storage). A empresa tem recomendado que seus clientes se protejam desse tipo de ataque imediatamente, usando senhas mais seguras, permitindo a proteção de acesso IP para evitar ataques de força bruta e evitando o uso das portas padrão 443 e 8080. Este alerta vem apenas algumas semanas após os pesquisadores de segurança já alertarem para a detecção de Ataques de ransomware AgeLocker (também conhecido como Qlocker) contra seus dispositivos.
• A Exploração ativa de uma vulnerabilidade de zero day no Roon Server, afetando especificamente o Roon Labs do Roon Server 2021-02-01 e versões anteriores. Da QNAP, eles recomendam desabilitar o Roon Server e não expor o NAS à Internet para se proteger desses ataques até que uma atualização de segurança seja lançada.

Mais informações: https://www.bleepingcomputer.com/news/security/qnap-warns-of-ech0raix-ransomware-attacks-roon-server-zero-day/

O Trojan bancário Bizarro estende seu impacto à Europa

Os pesquisadores de segurança identificaram novas campanhas do Trojan bancário brasileiro conhecido como Bizarro em vários países europeus, como Espanha, França, Portugal ou Itália. Como de costume nos cavalos de Troia brasileiros, sua distribuição é realizada por meio de campanhas de spam que obrigam o download de um arquivo ZIP de um site comprometido, tendo-se identificado infraestrutura em AWS, WordPress ou Azure, tanto para hospedagem dos arquivos maliciosos iniciais quanto para a acomodação do C2. É um ladrão que coleta informações sobre o computador infectado, a sessão, o antivírus usado ou os dados do navegador. Uma vez no navegador, o software malicioso força o fechamento de sessões abertas em serviços bancários digitais no navegador para forçar o usuário a inserir novamente as credenciais e, assim, ser capaz de capturá-las. Além disso, possui outros recursos típicos desse tipo de Trojan, como sequestro de mouse e teclado, resolução de fatores de autenticação dupla (2FA), registro de pressionamento de tecla, envio de mensagens falsas do sistema ou indução à instalação de aplicativos maliciosos, entre outros.

Quatro vulnerabilidades corrigidas do Android podem ter sidos usadas em ataques direcionados

O Android atualizou as informações associadas a quatro vulnerabilidades corrigidas em 3 de maio em seu boletim de segurança do mês de maio. Especificamente, as informações relacionadas à sua exploração mudaram e afirmam que eles podem estar sendo explorados. Duas das vulnerabilidades, identificadas como CVE-2021-1905 e CVE-2021-1906, afetam os drivers do GPU Qualcomm, enquanto os dois restantes, CVE-2021-28663 e CVE-2021-28664 afetam os condutores do GPU Arm do Mali.De acordo com a equipe Project Zero do Google, todas as quatro vulnerabilidades estavam sendo exploradas por invasores mesmo antes do lançamento dos patches e poderiam ter sido usadas em ataques direcionados.

Todas as informações: https://twitter.com/maddiestone/status/139500434699624

Nova tendência de criptografia dupla com múltiplas variantes de ransomware

Recentemente, houve uma nova tendência, analisada por pesquisadores da Emsisoft, em que agentes maliciosos estão usando múltiplas variantes de ransomware para criptografar duplamente os dados de suas vítimas, com o objetivo de dificultar a possível recuperação e aumentar as chances de obtenção de um resgate. Deve-se mencionar que não é uma extorsão dupla, mas uma criptografia dupla, em que os mesmos operadores decidem usar diferentes variantes de ransomware no mesmo ataque. Na análise realizada, foram observados ataques com REvil e Netwalker em conjunto, bem como outros com MedusaLocker em conjunto com GlobeImposter. Em alguns casos, uma amostra foi compartilhada através do portal de um grupo quando os arquivos criptografados foram enviados através do portal do outro, portanto, é até possível que os operadores das diferentes famílias estejam trabalhando juntos. Também foi observado que às vezes os dados são criptografados primeiro com um ransomware e, em seguida, criptografados novamente com o segundo, enquanto, em outras, parte do sistema de criptografia com uma variante e parte com outra. Essa nova tendência se soma a outras observadas recentemente, como a método de extorsão tripla, que consistiria em, além de criptografar os dados e ameaçar torná-los públicos, contatar clientes ou terceiros que possam ser afetados pelo ataque para solicitar resgate, com o mesmo objetivo de aumentar os benefícios econômicos.

Mais detalhes: https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/

Campanha de distribuição de malware STRRAT

A equipe de segurança da Microsoft relata a detecção de uma nova campanha de distribuição em massa por e-mail da versão mais recente do malware STRRAT. Os invasores estariam usando contas de e-mail previamente comprometidas para enviar as mensagens, que contém uma imagem anexada que simula ser um PDF anexado. Quando você clica para abrir o suposto documento, a imagem baixa o malware STRRAT. As primeiras detecções desta família datam de 2020. É um malware programado em Java e tem um espectro de funcionalidades diversos, desde o roubo de credenciais de diferentes clientes de e-mail, a gravação de pressionamentos de teclas, a execução de comandos arbitrários, ou a capacidade de instalar a ferramenta RDWrap de código aberto para obter acesso remoto através de sessões RDP, entre outros. Também vale a pena mencionar a função «rw-encrypt», que apenas adiciona a extensão “.crimson” aos arquivos, sem modificar o seu conteúdo. Em outras palavras, o usuário pode pensar que os arquivos estão criptografados como ocorre em ataques de ransomware, uma vez que, como a extensão foi alterada para “.crimson”, eles não podem abri-los; entretanto, bastaria recolocar a extensão original de volta para poder recuperar as informações. A Microsoft publicou pesquisas avançadas para facilitar a identificação de indicadores e comportamentos maliciosos relacionados ao STRRAT.

Mais informações: https://twitter.com/MsftSecIntel/status/1395138347601854465