Vulnerabilidade de elevação de privilégio da Western Digital

O pesquisador independente de segurança Xavier Danest relatou uma vulnerabilidade de escalada de privilégios no EdgeRover. Deve-se notar que o EdgeRover é um software desenvolvido pelo fabricante de produtos de armazenamento Western Digital, destinado ao gerenciamento de conteúdo, unificando vários dispositivos de armazenamento, sob uma única interface. Identificada como CVE-2022-22988, a vulnerabilidade foi qualificada como crítica com um CVSSv3 de 9.1 desde que, devido a um erro de cruzamento de diretórios, permitiria que um invasor que anteriormente comprometeu o sistema de destino ganhasse acesso não autorizado a diretórios e arquivos restritos, o que poderia, adicionalmente, levar a uma escalada de privilégios locais,  divulgação de informações confidenciais ou ataques de negação de serviço (DoS). O bug afeta as versões desktop do EdgeRover para Windows e Mac, e no momento não se sabe se ele seria ativamente explorado na rede. Por sua vez, a Western Digital já corrigiu as permissões de arquivos e diretórios para evitar acesso e modificação não autorizados, e recomenda atualizar o EdgeRover para a versão 1.5.1-594 ou posterior, que resolve essa vulnerabilidade.

Serpent: novo backdoor visando organizações francesas

Pesquisadores da Proofpoint descobriram um novo backdoor que seria direcionado contra entidades francesas nos setores da construção civil e do governo. A campanha detectada faz uso de documentos do Microsoft Word habilitados para macros sob o pretexto de informações relacionadas ao GDPR, a fim de distribuir chocolatey, um instalador de pacotes legítimo e de código aberto que, após diferentes técnicas de ocultação, como esteganografia e bypass através de tarefas programadas, implementará o backdoor que o Proofpoint chamou de «Serpent». Uma vez que a cadeia de infecção seja concluída com sucesso, o invasor seria capaz de gerenciar o host alvo a partir de seu servidor de Comando & Controle (C2), extrair informações confidenciais ou até mesmo distribuir novas cargas adicionais. O proofpoint destaca a possibilidade de que «Serpent» seja uma ameaça avançada e direcionada, levando em conta seus comportamentos direcionados e únicos, como a esteganografia, embora atualmente não haja evidências que permitam sua atribuição a qualquer grupo conhecido específico.

Vulnerabilidades críticas nos modelos de impressoras HP

A HP lançou recentemente dois boletins de segurança relatando vulnerabilidades críticas que afetam centenas de modelos de impressoras das marcas LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format e DeskJet. Por um lado, em 21 de março, a HP publicou um aviso de segurança (HPSBPI03780) aludindo à identificação da falha de segurança catalogada como CVE-2022-3942, CVSS 8.4. De acordo com eles, esta é uma falha de estouro de buffer que poderia desencadear a execução remota de código. Por outro lado, o segundo boletim (HPSBPI03781) contém outras três vulnerabilidades, sendo duas classificadas como críticas, especificamente VE-2022-24292 e CVE-2022-24293, CVSS 9.8. Explorar essas vulnerabilidades poderia permitir que atores mal-intencionados produzissem divulgação de informações, execução remota de código ou negação de serviço. Todas essas falhas de segurança foram descobertas pela equipe da Trend Micro’s  Zero Day  Initiative. Deve-se notar que a HP liberou atualizações de segurança de firmware para a maioria dos produtos afetados, embora nem todos os modelos contenham patches no momento.

Campanha de espionagem usando nova variante do malware Korplug

Os pesquisadores de segurança da ESET detectaram uma campanha maliciosa ativa por pelo menos oito meses que estaria distribuindo uma nova variante do Trojan de acesso remoto Korplug (RAT). De acordo com a pesquisa, a distribuição desse malware seria realizada enviando e-mails sob isca associada a eventos atuais, como o COVID-19 ou relacionados a questões institucionais europeias. Entre os objetivos detectados, a ESET menciona que a campanha tem como alvo diplomatas europeus, provedores de serviços de internet e institutos de pesquisa em países como Grécia, Chipre, África do Sul, entre outros. Korplug é um Trojan anteriormente associado à sua semelhança com variantes do malware PlugX que, dependendo da campanha ou ator de ameaças que o usa em suas operações, pode ter capacidades para enumerar drives e diretórios, ler e gravar arquivos, executar comandos em uma área de trabalho escondida, iniciar sessões remotas e se comunicar com o servidor de Comando & Controle (C2) dos atacantes. No entanto, não está descartado que o Korplug esteja em pleno desenvolvimento adicionando novas funcionalidades de ocultação. A ESET atribui a autoria desta campanha ao Ator de Ameaça ligado ao Mustang Panda da China (também conhecido como TA416), conhecido por sua motivação focada principalmente na espionagem política.

Novas campanhas norte-coreanas de APT explorando os 0 days do Chrome

Pesquisadores do Google identificaram novas campanhas atribuídas a dois grupos de cibercriminosos ligados à Coreia do Norte, nos quais teriam explorado vulnerabilidades remotas de execução de códigos no Chrome. A atividade desses grupos já foi referida anteriormente, por um lado, como Operação Trabalho dos Sonhos, e, por outro lado, como Operação AppleJesus. Especificamente, esses APTs teriam explorado a vulnerabilidade CVE-2022-0609 por pouco mais de um mês, antes do patch estar disponível em 14 de fevereiro. A atividade teria sido direcionada contra entidades norte-americanas entre as quais haveria mídia, organizações do setor de tecnologia, criptomoedas e a indústria de tecnologia financeira, no entanto, é possível que também tenha sido direcionada contra outros setores e geografias.  A análise publicada detalha táticas, técnicas e procedimentos (TTPs), indicadores de compromisso e detalhes sobre a exploração utilizada pelos atacantes, que poderiam ser explorados por outros grupos ligados à Coreia do Norte.

Vishing se passando  pela Microsoft

O Escritório de Segurança da Internet (OSI) emitiu um aviso de segurança para relatar o aumento, nas últimas semanas, de chamadas fraudulentas nas quais um suposto funcionário da Microsoft indica que o dispositivo do usuário está infectado. Nesse tipo de fraude, conhecida como vishing, o invasor insta a vítima a instalar um aplicativo de acesso remoto, que supostamente desinfetará o dispositivo. Uma vez que o cibercriminoso tenha acesso ao computador do usuário, ele pode roubar todos os tipos de arquivos armazenados no dispositivo, obter as senhas salvas no navegador e até mesmo instalar um malware que bloqueia o computador para solicitar mais tarde um pagamento para seu desbloqueio. A partir do OSI recomenda-se desconectar o dispositivo da rede, desinstalar o programa instalado e usar um antivírus, caso o usuário tenha atendido a chamada e instalado o programa mencionado pelo cibercriminoso.

Vulnerabilidade no kernel Linux Netfilter

O pesquisador de segurança Nick Gregory descobriu uma nova vulnerabilidade no kernel Linux. Essa falha, identificada como CVE-2022-25636 e com um CVSSv3 de 7.8, implica uma vulnerabilidade de gravação fora dos limites no Netfilter, uma estrutura de kernel Linux que permite que várias operações sejam realizadas com a rede, como filtragem de pacotes, endereço e tradução de porta (NATP), rastreamento de conexão e outros tipos de operações de manipulação de pacotes. Um invasor no local poderia explorar essa vulnerabilidade para escalar privilégios e executar código arbitrário no sistema vulnerável. Deve-se notar que o bug afeta da versão 5.4 para 5.6.10 do kernel Linux, por isso é recomendável atualizar para a nova versão o mais rápido possível, pois há um PoC disponível.

Variante do Trojan Brasileiro Maxtrilha tem como alvo usuários portugueses

O pesquisador Pedro Tavares, da Segurança Informática, detectou uma possível nova variante do Troiano brasileiro conhecido como Maxtrilha. Essa variante foi detectada através de modelos de phishing onde se passavam pelos serviços fiscais de Portugal (Autoridade Tributária e Aduaneira), sendo seus usuários bancários-alvo daquele país. Os pesquisadores consideram esse malware uma nova variante do Trojan Maxtrilha brasileiro devido à semelhança das amostras, e porque usa os mesmos modelos para atacar usuários. E-mails maliciosos distribuídos incluem uma URL que baixa um arquivo HTML chamado «Split 2021.html» ou «Financas.htm», que posteriormente baixa um arquivo ZIP e, finalmente, baixa o malware. Esta nova variante pode instalar ou modificar certificados confiáveis do Windows, executar uma sobreposição de janelas bancárias com o objetivo de roubar credenciais e pode implementar cargas adicionais executadas através da técnica de injeção DLL.

Apple corrige 87 vulnerabilidades

A Apple lançou 10 boletins de segurança que corrigem um total de 87 vulnerabilidades em seus diferentes produtos e plataformas: iOS 15.4 e iPadOS 15.4, watchOS 8.5, tvOS 15.4, macOS Monterey 12.3, macOS Big Sur 11.6.5, Security Update 2022-003 Catalina, Xcode 13.3, Logic Pro X 10.7.3, GarageBand 10.4.6 e i Sintonizes 12.12.3 para Windows. Entre as vulnerabilidades detectadas estão bugs no WebKit (mecanismo de navegador da Web usado pelo Safari, Mail ou App Store) que podem levar à execução remota de código (CVE-2022-22610, CVE-2022-22624, CVE-2022-22628 e CVE-20222-22629). Também são destacadas outras quatro vulnerabilidades em componentes de visualização de documentos, áudio e vídeo no iPhone e iPad que poderiam permitir a implantação de malware ou a elevação do privilégio (CVE-2022-22633, CVE-20222-22635 e CVE-20222-22636). Por fim, deve-se notar que o macOS recebe atualizações tanto da versão atual quanto das duas anteriores, enquanto apenas as versões mais atuais do iOS, watchOS, iPadOS e tvOS são compatíveis com essas atualizações.

LokiLocker: novo RaaS com funcionalidade de wiper

A equipe de pesquisadores do BlackBerry identificou um novo Ransomware as a Service (RaaS) direcionado contra computadores usando o sistema operacional Windows. Segundo especialistas, este software malicioso foi descoberto pela primeira vez em meados de agosto de 2021, e teria afetado vítimas em todo o mundo, embora a maioria delas estivesse localizada na Europa e ásia. Entre os recursos mais destacados do LokiLocker está que ele é escrito em .NET e protegido com NETGuard, além disso, ele também usa o KoiVM, um complemento de virtualização que dificulta a análise de softwares maliciosos e que seu uso não é muito comum. Da mesma forma, LokiLocker estabelece um prazo para pagar o resgate, se a vítima não acessar a chantagem do ransomware, usa uma função de excluir arquivos do computador, exceto os do sistema, e substitui o registro de inicialização mestre (MBR) da unidade do sistema para desabilitá-lo.

Mozilla corrige duas vulnerabilidades de 0 day

A Mozilla emitiu um aviso de segurança onde corrige duas vulnerabilidades de 0 day que estão sendo ativamente exploradas e que afetam o Firefox, Focus e Thunderbird. Ambas as vulnerabilidades foram relatadas pela equipe de segurança 360 da empresa ATA.  A primeira delas, classificada como CVE-2022-26485, é uma vulnerabilidade pós-uso no processamento de parâmetros XSLT, que permite a conversão de documentos. O segundo foi classificado como CVE-2022-26486, e é uma vulnerabilidade pós-uso no quadro IPC do WebGPU. Em caso de exploração, um agente de ameaças pode executar o código remotamente, fugindo da segurança, e pode até comprometer o dispositivo baixando algum código malicioso. Ambas as vulnerabilidades são abordadas no Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 e Focus 97.3.0. A Mozilla recomenda a atualização o mais rápido possível.

Dirty Pipe: Nova vulnerabilidade no kernel Linux

O pesquisador de segurança Max Kellermann divulgou detalhes de uma nova vulnerabilidade no kernel Linux desde a versão 5.8 que permitiria aos usuários locais obter privilégios raiz através de explorações que já estão disponíveis publicamente. Identificado com cve-2022-0847 e um CVSSv3 de 7.8, o bug permitiria que um usuário local desprivilegiado injetasse e substituísse dados aleatórios em arquivos somente leitura, incluindo processos SUID executados como raiz, levando a uma escalada privilegiada no sistema afetado e até mesmo permitindo a manipulação de arquivos sensíveis, como aqueles localizados no caminho /etc/passwd,  que permitiria excluir a senha do usuário raiz. Em sua publicação, o pesquisador compartilha uma prova de conceito (PoC) e aponta a semelhança dessa vulnerabilidade com «Dirty Cow» (CVE-2016-5195), que veio à tona em outubro de 2016, embora desta vez sua exploração seria menos complexa e grupos como o Anonymous já tenham falado sobre o assunto. A vulnerabilidade já foi corrigida nas versões Linux 5.16.11, 5.15.25 e 5.10.102, por isso é recomendável corrigir o mais rápido possível, dado o impacto que uma exploração bem sucedida desse erro causaria.

Boletim de atualização da Microsoft

A Microsoft publicou seu boletim de segurança para o mês de março no qual relata a correção de um total de 74 falhas, incluindo três vulnerabilidades críticas de acordo com a empresa e três 0 days que supostamente não estão sendo explorados ativamente.

• Vulnerabilidades críticas de acordo com a Microsoft: A falha mais crítica das três (CVE-2022-23277 CVSSv3 8.8) afeta o Microsoft Exchange Server e permite que um invasor autenticado segmente contas de servidor com o objetivo de executar código remoto com privilégios ADMIN, devido a uma falha no gerenciamento de memória pelo servidor. Os outros dois bugs também categorizados como críticos pela Microsoft, CVE-2022-22006 e CVE-2022-24501, ambos com CVSSv3 7.8, afetam as extensões de vídeo HEVC e VP9, mas sua exploração requer engenharia social já que a vítima precisa baixar e abrir um arquivo especialmente modificado.

• 0 days: O bug mais grave deste tipo CVE-2022-21990 CVSSv3 8.8, permite a execução remota de código em RDP. Alguns pesquisadores apontam que essa decisão deve ser considerada crítica e enfatizam que, embora ainda não esteja sendo explorada ativamente, pode ser em breve, uma vez que uma prova de conceito já está disponível. Os outros dois 0 days corrigidos são os identificados como CVE-2022-23285 CVSSv3 8.8 e CVE-2022-24503 CVSSv3 5.4.

Vulnerabilidades do firmware UEFI

A HP, em conjunto com a equipe Binarly, descobriu várias vulnerabilidades de alto impacto relacionadas ao firmware UEFI, que supostamente afetam diferentes produtos HP, como laptops e desktops, ou nós de perímetro e sistemas de ponto de venda (PoS). Estes foram classificados como CVE-2021-39298 com CVSSv3 8.8, CVE-2021-39297, CVE-2021-39299, CVE-2021-39300 e CVE-2021-39301, todos com CVSSv3 de 7.5. Quando explorado, um agente de ameaças pode injetar código malicioso, aumentar privilégios e permanecer nos dispositivos após as atualizações do sistema operacional. A HP forneceu atualizações de firmware e instruções sobre como atualizar o BIOS.

Análise do ressurgimento do Emotet

Pesquisadores da Black Lotus Labs publicaram uma análise das evidências do ressurgimento da botnet Emotet desde novembro de 2021. Os pesquisadores indicam que, desde então, a botnet mostrou um aumento acentuado em sua atividade através de aproximadamente 130.000 bots únicos distribuídos por 179 países, acumulando mais de 1,6 milhão de dispositivos infectados. O malware reapareceu usando o Trickbot como método de entrega, e mesmo que a estrutura de seu Comando&Controle (C2) teria sido reintegrada em novembro, a adição de bots não foi pronunciada até janeiro. Os detalhes técnicos do relatório revelam que o Emotet fez mudanças notáveis  em sua operação, como o algoritmo usado para criptografar o tráfego de rede, que agora é baseado na criptografia elíptica (ECC); ou na mudança do modelo de nível, marcado pela ausência do Bot C2, embora não se saiba se é uma mudança eventual ou permanente. Como a distribuição do Emotet é feita por meio de e-mails comprometidos com anexos maliciosos, os pesquisadores recomendam intensificar medidas preventivas contra phishing e monitoramento de recursos de rede para evitar possíveis incidentes derivados.

Escrito por Denny Roger e Gutiel Farias

Todas as inovações das cadeias de produção da Quarta Revolução Industrial, estão direta ou indiretamente associadas à dispositivos de Inteligência Artificial, Internet das Coisas (IoT) e Computação em Nuvem. Com esse cenário as empresas impetram um crescente aumento de conectividade nas suas fábricas e consequente aumento de vulnerabilidades em suas plantas com tecnologias da Indústria 4.0. A preocupação com a segurança cibernética passa a não ser opcional. 

Conforme relatórios divulgados sobre as ameaças a Indústria 4.0, podemos constatar que:

• Segundo o relatório anual da Apura Cyber Intelligence, as áreas mais visadas por criminosos virtuais são as instituições governamentais e a indústria, que empatam em primeiro lugar, com 17,4%, seguida pelo setor de saúde, com 13%.

• Apesar de contribuir com o avanço da tecnologia, a transformação digital dos últimos anos deve impulsionar em 57% as ameaças de ataques cibernéticos contra as indústrias na América Latina. Essa é uma das conclusões da pesquisa Industrial Internet Security Trend Report.

Ataques de ransomware direcionados a infraestrutura crítica

Intitulado “The Global State of Industrial Cybersecurity 2021: Resilience Amid Disruption”, o relatório revela que 80% das organizações de infraestrutura crítica sofreram ataques de ransomware em 2021.

Entre os 80% dos entrevistados que sofreram um ataque de ransomware, 47% relataram um impacto em seu ambiente de sistema de controle industrial (ICS) e mais de 60% pagaram o resgate, sendo que mais da metade custando US$ 500 mil ou mais.

A maioria dos entrevistados estimaram uma perda de receita por hora de inatividade em suas operações igual ou maior que o pagamento do resgate. Mesmo entre aqueles que pagaram o resgate, 28% ainda tiveram um impacto nas operações por mais de uma semana. Essas informações indicam que, apesar de não ser recomendado o pagamento do resgate, a perda de receita devido ao tempo de inatividade operacional é muito mais cara para a maioria das organizações; além do risco reputacional ser afetado por seus clientes e funcionários.

13 passos para melhorar a segurança cibernética da indústria 4.0

• Defina uma estratégia/roadmap de curto, médio e longo prazo com as ações que contribuam para elevar o nível de maturidade da segurança cibernética;

• Estabeleça/atualize o Sistema de Gestão sobre Segurança Cibernética, considerando: os aspectos relativos à prevenção, tratamento e resposta a incidentes cibernéticos; e resiliência cibernética;

• Implemente ações de gerenciamento de riscos e ameaças cibernéticas com objetivo de garantir a continuidade do negócio, a proteção dos dados e a segurança operacional da indústria.

• Realize uma avaliação completa dos riscos cibernéticos apresentados por fornecedores terceirizados, incluindo o plano de ação para mitigação de cada um dos riscos;

• Estabeleça uma política de confiança zero[DFR1] , incluindo uma arquitetura de segurança cibernética em todos os níveis;

• Realize a correção de vulnerabilidades em tempo hábil, implantando patches, testando e validando através de testes de invasão;

• Estabeleça requisitos e controles mínimos de segurança cibernética para a indústria tendo como objetivo reduzir riscos e vulnerabilidades a incidentes cibernéticos;

• Estabeleça políticas que promovam a utilização de controles internos e melhorias contínuas que mitiguem riscos de incidentes cibernéticos;

• Estabeleça um comitê para atuação em incidentes cibernéticos;

• Estabeleça procedimento para identificação e avaliação contínua de serviços e instalações estratégicas, consideradas infraestruturas críticas, que requeiram atenção em termos de segurança cibernética;

• Estabeleça estratégias de defesa contra-ataques de Ransomware, incluindo: prevenção, detecção, resposta e recuperação;

• Realize exercícios de simulação de incidentes cibernéticos; e

• Implemente programas de conscientização e capacitação em segurança e resiliência cibernética.

Daxin: backdoor altamente sofisticado

A equipe de pesquisadores da Symantec publicou um artigo relatando um novo backdoor que eles atribuem a atores ligados à China. De acordo com a Symantec, seria o malware mais avançado que eles teriam visto usando agentes de ameaça daquele país. O Daxin permite que você leia e escreva arquivos e inicie processos, mas ele se destaca sobretudo por sua discrição e pela forma como se comunica com seu Comando & Controle. O malware é capaz de sequestrar conexões TCP/IP legítimas com o objetivo de obter uma troca-chave com seu peer remoto e, desta forma, consegue abrir um canal de comunicação criptografado para receber comandos e enviar respostas escondidas entre o tráfego legítimo e, assim, evitar soluções de segurança. Outro recurso excepcional é a capacidade de criar um novo canal de comunicação através de vários computadores infectados na mesma rede usando um único comando para um conjunto de nodes. Graças a isso, ele consegue restaurar rapidamente conexões criptografadas e canais de comunicação. A Symantec identificou Daxin em organizações governamentais, bem como entidades dos setores de telecomunicações, transporte e indústria de interesse estratégico para a China. Os ataques observados datam de novembro de 2021, mas destacam que a amostra mais antiga identificada data de 2013.

Vulnerabilidade crítica no GitLab

O GitLab lançou uma atualização de segurança que aborda um total de 7 vulnerabilidades que afetam o GitLab Community Edition (CE) e o Enterprise Edition (EE). Entre as falhas de segurança, destaca-se a identificada como CVE-2022-0735, que tem pontuação cvss de 9,6. Explorar essa vulnerabilidade pode permitir que um invasor não autenticado obtenha um token de registro de um corredor, tornando possível a execução remota de código. Embora os detalhes técnicos da vulnerabilidade não tenham sido publicados, a exploração disso seria de baixa complexidade e não exigiria privilégios ou interação por parte do usuário a ser explorado. Essa vulnerabilidade afeta todas as versões de 12.10 para 14.6.4, 14.7 a 14.7.3 e todas as versões de 14.8 a 14.8.1. Assim, o GitLab recomendou a atualização para as versões GitLab Community Edition (CE) e Enterprise Edition (EE) 14.8.2, 14.7.4 e 14.6.5.

Distribuição do TeaBot através da loja Google Play

Os pesquisadores de Cleafy publicaram um novo artigo sobre o Trojan bancário TeaBot, também conhecido como Anatsa, que teria começado a ser distribuído através de aplicativos fraudulentos hospedados na loja Google Play. Este Trojan bancário surgiu no início de 2021 e foi distribuído principalmente através de campanhas de smishing. As novas amostras, no entanto, passaram a usar o Google Play como um meio de distribuição, escondendo um dropper de Teabot atrás de um aplicativo de digitalização QR Code & Barcode (Scanner). Ao baixar o aplicativo, o invasor solicitará ao usuário que o atualize usando uma mensagem pop-up. Esta suposta atualização não será realmente uma atualização, mas um segundo aplicativo («QR Code Scanner: Add-On») será baixado de uma fonte não confiável. Este segundo aplicativo é o que já foi identificado como Teabot, que pede ao usuário permissões a serviços de acessibilidade para obter privilégios como visualização e controle da tela e visualização e execução de ações. As últimas campanhas de Teabot passaram a apoiar idiomas como russo, eslovaco ou mandarim chinês, de modo que o malware poderia estar expandindo seus alvos geograficamente.

Nova falha de escalonamento de privilégios no Linux

Os pesquisadores de segurança da Qualys descobriram sete falhas no sistema de embalagem e implantação de software Snap da Canonical, usado em sistemas operacionais usando o kernel Linux. A mais grave dessas vulnerabilidades, listada como CVE-2021-44731 e que teria recebido um CVSSv3 de 7.8, é um erro de escalonamento privilegiado na função snap-confine, usado internamente pela ferramenta snapd para construir o ambiente de execução de aplicativos snap. Uma exploração bem-sucedida poderia permitir que qualquer usuário desprivilegiado obtenha privilégios raiz no host vulnerável. A falha foi comunicada aos fornecedores e distribuições de código aberto no momento em que foi descoberta em outubro passado, levando a um processo coordenado de divulgação de patches em 17 de fevereiro. Os técnicos da Qualys também desenvolveram uma exploração  para este problema que permite obter privilégios completos de raiz em instalações padrão do Ubuntu. As outras seis vulnerabilidades identificadas são: CVE-2021-3995, CVE-2021-3996, CVE-2021-3997, CVE-2021-3998, CVE-2021-3999, CVE-2021-44730

Operadores de Ransomware Conti absorvem operações de TrickBot

A equipe de pesquisadores da Advanced Intelligence publicou um relatório afirmando que o malware TrickBot transferiu seu gerenciamento para os operadores de ransomware Conti. Especialistas da AdvIntel analisaram os antecedentes do TrickBot, observando uma relação historicamente próxima com esse ransomware e seu apogeu subsequente. Conti tem sido baseado, entre outros fatores, na manutenção de um código de conduta entre seus operadores, o que os teria favorecido a prosperar e permanecer ativos contra outros grupos de ransomware, desmantelados por várias operações policiais. Especialistas apontam que a TrickBot tornou-se progressivamente uma subsidiária dos operadores da Conti, sendo os únicos que a usaram em suas operações. Além disso, no final de 2021, Conti finalmente absorveu vários desenvolvedores e operadores da TrickBot. No entanto, deve-se notar que, como as redes do TrickBot seriam facilmente detectadas, os operadores Conti começaram a substituí-lo pelo malware BazarBackDoor, que está em desenvolvimento e é usado para obter acesso inicial às redes de suas vítimas.

Cobalt Strike distribuídos em servidores MS-SQL vulneráveis

Analistas da ASEC descobriram uma nova campanha onde servidores vulneráveis do Microsoft SQL (MS-SQL) expostos à Internet, seriam atacados por atores maliciosos com o objetivo de distribuir o Cobalt Strike em hosts comprometidos. Os ataques direcionados aos servidores MS-SQL incluem ataques ao ambiente onde sua vulnerabilidade não foi corrigida, ataques de força bruta e ataques de dicionário contra servidores mal gerenciados. Primeiro, o ator mal-intencionado verifica a porta 1433 para verificar se há servidores MS-SQL abertos ao público e, em seguida, realiza ataques de força bruta ou dicionário contra a conta do administrador para tentar fazer login. Diferentes malwares, como o Lemon Duck, permitem digitalizar tal porta e se espalhar para se mover lateralmente na rede interna. Os ataques culminam na descriptografia do Cobalt Strike executável, seguido por sua injeção no processo legítimo do Microsoft Build Engine (MSBuild), que foi explorado em outras ocasiões por agentes mal-intencionados para implantar Trojans de acesso remoto e malware de roubo de credenciais. Finalmente, deve-se notar que a versão do Cobalt Strike rodando no MSBuild.exe vem com configurações adicionais para evitar a detecção por software de segurança.

Atualmente , dezenas de vulnerabilidades são descobertas (média de 50 por dia em 2021), e os atacantes encontram novas e engenhosas maneiras de explorá-las. É óbvio que, do setor de cibersegurança, é necessário igualar os esforços para evitar que esses ataques tenham êxito.  

Essa corrida tecnológica tem levado a inúmeros avanços e desenvolvimentos na infraestrutura tecnológica de empresas e instituições, mas não podemos esquecer um fator crítico: pessoas, sistemas com centenas de vulnerabilidades conhecidas desde o início dos tempos, em sua maioria não corrigidas. 

De acordo com dados coletados pelo Proofpoint, 20% dos usuários teriam interagido com e-mails contendo arquivos maliciosos, e outros 12% teriam acessado os links fornecidos nesses e-mails. Várias fontes indicam que o percentual de vazamentos de informações produzidos pelos funcionários varia entre 88% e 95%. Ignorar esse fator humano na cibersegurança representa um grande risco para as organizações. 

Por que isso acontece? 

Embora existam infinitas causas e motivações por que uma ação humana pode desencadear um incidente de segurança, de um informante que compartilha intencionalmente informações da empresa, a um erro acidental que deixa as informações expostas, o foco deste artigo são os casos em que há uma intencionalidade por parte de um invasor,  mas não por parte da vítima. Os exemplos mais comuns desse tipo de caso são:  campanhas de phishing, vishing (por telefone) ou smishing (por SMS). 

As técnicas empregadas nesses tipos de ataques não mudaram muito ao longo do tempo. Os mesmos métodos que Frank Abagnale Jr. usou nos anos 60 ou Kevin Mitnick entre os anos 80 e 90 para realizar as fraudes que os tornaram famosos, são tão eficazes hoje. Alguns deles, como os criados por Cialdinni, ainda são usados em marketing e comunicação, e até discutimos eles anteriormente no blog. 

O conjunto de técnicas e procedimentos utilizados para tentar motivar o usuário a realizar alguma ação em favor dos cibercriminosos é conhecido como Engenharia Social.  Embora também seja chamado por outros nomes mais artísticos, como «manipulação mental» ou «hacking humano», nada mais é do que uma aplicação de persuasão ou mudança de atitude. 

Nesse contexto, a psicologia propõe a Probabilidade do Modelo de Elaboração (ELM). O nível de elaboração de uma pessoa é baseado em dois fatores: sua capacidade para entender a mensagem, e sua motivação para fazê-lo.  Para ser honesto, lendo o e-mail na segunda de manhã antes do primeiro café, não temos nenhum dos dois. 

As mudanças de atitude produzidas em um assunto em alta elaboração são processadas pelo chamado «caminho central», e são mais profundas e duradouras ao longo do tempo, mas requerem argumentos mais fortes para entrar em vigor. Felizmente para os cibercriminosos, basta que dure os segundos necessários para que as vítimas sigam um link ou inserem suas credenciais, para que a vítima não precise prestar muita atenção. 

Essa combinação de fatores faz de um funcionário sob o efeito de fatores como cansaço, estresse ou sono a vítima perfeita da engenharia social. O que não significa necessariamente que, se estamos em perfeitas condições, não podemos ser vítimas das mesmas técnicas, mas isso nos torna extremamente vulneráveis. 

O que podemos fazer quanto a isso? 

Deixando de lado o componente puramente tecnológico, e focando no humano, tanto as empresas quanto os usuários podem tomar medidas para tentar reduzir o sucesso dessas técnicas de engenharia social, como a realização de campanhas de conscientização e treinamento na detecção de mensagens e atividades fraudulentas ou oferecer formas de report para que os usuários possam alertar em caso de detecção, entre outros. 

Como usuários, também em um nível pessoal, é importante estar atento  à nossa pegada digital: as informações disponíveis sobre nós mesmos no ciberespaço podem ser usadas para direcionar com mais precisão ataques que empregam engenharia social. 

Nas palavras do criptógrafo e especialista em segurança de computadores Bruce Schneier: «Se você acredita que a tecnologia pode resolver seus problemas de segurança, você não entende os problemas, nem entende a tecnologia.»