Hoje saiu um alerta da ABIN (Agência Brasileira de Inteligência) e do CETIR.br, sobre o Ransomware “NoEscape”, que começou a agir no mercado em junho e apresenta semelhante comportamento com outra ameaça: o Avaddon Ransomware. que durou de junho de 2020 a junho de 2021 e comprometeu ao menos três mil vítimas.
“O NoEscape é um Ransomware-as-a-Service (RaaS), proporcionando criação e gestão de artefatos para ataques a sistemas Windows e Linux. O modo de atuação é similar ao de outros RaaS atuais: além da encriptação dos arquivos e exigência de pagamento para sua recuperação, há a exposição pública das vítimas em sites na Dark Web, exfiltração e vazamento de dados sensíveis e, em alguns casos, ataques distribuídos de negação de serviço (DDoS) e Spam via telefone, e-mail e mensagens SMS”, informa os organismos de segurança, que listou as principais ações que precederam a execução do ransomware:
- Comprometimento de servidor de e-mails Microsoft Exchange desatualizado. Foram implantados dois webshells nesse servidor que permitiram acesso inicial à rede da vítima;
- Emprego das ferramentas “Anydesk” e “Screenconnect” para baixar outros artefatos utilizados para dar prosseguimento ao ataque. Ambos são softwares legítimos usados para acesso remoto a computadores, comumente utilizados por atores maliciosos para evasão de ferramentas de defesa;
- Uso da rede Tor para conexão a canais de Comando e Controle;
- Emprego do Cobalt Strike para Comando e Controle;
- Emprego das ferramentas “NetRouteView” e “Nmap” para reconhecimento da rede da vítima;
- Uso de versão de “Mimikatz” denominada “Safetykatz” para obtenção de credenciais em computadores comprometidos;
- Utilização da ferramenta “7Zip” para compactar dados e a ferramenta “RClone” para exfiltração dos dados da rede da vítima;
- Utilização da ferramenta “PowerRun” para executar outros artefatos com privilégios elevados; e
- Utilização de scripts “.bat” executados remotamente com WMI, ferramenta administrativa do Windows, para parar a execução de softwares de segurança (antivírus, firewalls, proteção de endpoint) e para apagar backups automatizados do Windows (volume shadows).
VMware e Microsoft
A consultoria Redbelt Security também emitiu seu relatório de ameaças, no qual alerta para vulnerabilidades no Azure e no Cloud Director da VMware. As principais estão descritas no relatório e são as seguintes:
- Nova versão do Jupyter Infostealer surge com táticas sofisticadas de furtividade – a mais recente iteração Jupyter Infostealer, malware de roubo de informações, está disponível com táticas de furtividade aprimoradas. As ‘mudanças simples, mas impactantes’, incorporadas nesta versão, objetivam estabelecer de forma discreta uma presença persistente em sistemas comprometidos. O malware agora possui recursos avançados, incluindo a capacidade de coletar credenciais e estabelecer comunicação criptografada de comando e controle (C2), permitindo a exfiltração de dados e a execução de comandos arbitrários. O conjunto mais recente de artefatos utiliza vários certificados para assinar o malware, conferindo a eles uma aparência de legitimidade. No entanto, esses instaladores falsos ativam a cadeia de infecção após o lançamento, revelando a natureza maliciosa do Jupyter Infostealer. “Empresas devem estar atentas ao perigo dos malwares que roubam informações, pois essas ameaças podem comprometer a segurança e a integridade dos dados corporativos. Sempre alertamos para a importância de investir em soluções de segurança da informação avançadas, a fim de proteger ativamente os ativos digitais e mitigar os riscos associados a essas ameaças cibernéticas.”, afirma William Amorim, especialista em cibersegurança da Redeblt Security.
- Pesquisadores descobrem técnica de cryptomining indetectável na automação do Azure – foi desenvolvido o primeiro minerador de criptomoedas baseado na nuvem totalmente indetectável aproveitando o serviço de Automação do Microsoft Azure, sem acumular nenhuma cobrança. A empresa de cibersegurança SafeBreach disse que descobriu três métodos diferentes para executar o minerador, incluindo um que pode ser executado no ambiente de uma vítima sem atrair qualquer atenção. Embora o escopo da pesquisa seja limitado ao abuso da Automação do Azure para mineração de criptomoedas, a SafeBreach alerta que as mesmas técnicas podem ser reaproveitadas por atacantes para alcançar qualquer tarefa que exija execução de código no Azure.
- Falha de dia zero no software de e-mail Zimbra explorada por quatro grupos de hackers – esta falha foi explorada por quatro grupos diferentes em ataques do mundo real para roubar dados de e-mail, credenciais de usuário e tokens de autenticação. Sua exploração bem-sucedida pode possibilitar a execução de scripts maliciosos no navegador web das vítimas persuadindo-as a clicarem em uma URL criada para iniciar a solicitação XSS para o Zimbra e refletir o ataque de volta ao usuário. “Essas falhas representam uma ameaça significativa à segurança da informação, pois permitem que os invasores contornem as medidas de segurança existentes e ganhem acesso não autorizado aos sistemas. Uma vez dentro, eles podem roubar informações, instalar malwares ou realizar outras atividades maliciosas. Recomendamos a implementação de uma estratégia de defesa em profundidade, que inclui a aplicação regular de patches de segurança, o uso de software de detecção”, explica o especialista da Redbelt Security.
- Vmware informa vulnerabilidade crítica do cloud director que não foi corrigida – esta falha pode ser explorada por um invasor a fim de contornar as proteções de autenticação. Embora o VMware ainda não tenha lançado uma correção para o problema, ele forneceu uma solução alternativa na forma de um script de shell (“WA_CVE-2023-34060܂sh”). Enfatizou também que a implementação da mitigação temporária não exigirá tempo de inatividade, nem terá um efeito colateral na funcionalidade das instalações do Cloud Director.
*Salve-se quem puder!