5,4 milhões de contas do Twitter a venda em fórum hacker

 5,4 milhões de contas do Twitter a venda em fórum hacker. Twitter investiga autenticidade das contas e embora tenha corrigido a vulnerabilidade que deu origem ao vazamento, dados já se econtram a venda mas darkweb.

Uma vulnerabilidade verificada no Twitter de janeiro foi explorada por um agente de ameaças para obter dados de contas supostamente de 5,4 milhões de usuários. Embora o Twitter tenha corrigido a vulnerabilidade desde então, o banco de dados adquirido a partir dessa exploração agora está sendo vendido em um popular fórum de hackers

O Twitter disse que está investigando a autenticidade de um lote de informações conectadas a 5,4 milhões de contas que estão sendo vendidas em um fórum de hackers. 

Em janeiro, foi feito um relatório no HackerOne de uma vulnerabilidade que permite que um invasor adquira o número de telefone e/ou endereço de e-mail associado às contas do Twitter, mesmo que o usuário tenha ocultado esses campos nas configurações de privacidade.

O bug era específico para o cliente Android do Twitter e ocorreu com o processo de autorização do Twitter.

O usuário do HackerOne “zhirinovskiy” enviou o relatório de bug em 1º de janeiro deste ano. Ele descreveu as possíveis consequências dessa vulnerabilidade como uma ameaça séria que pode ser explorada por agentes de ameaças.

Esta é uma ameaça séria, pois as pessoas podem não apenas encontrar usuários que restringiram a capacidade de serem encontrados por e-mail/número de telefone, mas qualquer invasor com conhecimento básico de script/codificação pode enumerar uma grande parte da base de usuários do Twitter indisponível para enumeração anterior ( crie um banco de dados com telefone/e-mail para conexões de nome de usuário ). Tais bases podem ser vendidas a partes mal-intencionadas para fins publicitários ou para fins de identificação de celebridades em diferentes atividades maliciosas

– Usuário do HackerOne zhirinovskiy

O Twitter reconheceu o problema em 6 de janeiro, pagou uma recompensa de US$ 5.040 e resolveu a vulnerabilidade em 13 de janeiro. O pesquisador confirmou que a vulnerabilidade foi corrigida no mesmo dia. 

UMA CAPTURA DE TELA DO RELATÓRIO DO HACKERONE.

 

A exploração dessa vulnerabilidade com o cliente Android do Twitter é descrita a seguir no relatório do HackerOne:

A vulnerabilidade permite que qualquer parte sem autenticação obtenha um ID do twitter (que é quase igual a obter o nome de usuário de uma conta) de qualquer usuário enviando um número de telefone/e-mail, mesmo que o usuário tenha proibido essa ação nas configurações de privacidade . O bug existe devido ao processo de autorização utilizado no Android Client do Twitter, especificamente no processo de verificação da duplicação de uma conta do Twitter.
– Usuário do HackerOne zhirinovskiy

Hacker lista banco de dados de 5,4 milhões de usuários do Twitter à venda

Exatamente como o usuário do HackerOne zhirinovskiy descreveu no relatório inicial em janeiro, um agente de ameaças agora está vendendo os dados supostamente adquiridos dessa vulnerabilidade.

O pessoal da Restore Privacy notou novos usuários vendendo o banco de dados do Twitter no Breached Forums, o famoso fórum de hackers que ganhou atenção internacional no início deste mês de julho com uma violação de dados expondo mais de 1 bilhão de residentes chineses.

A postagem ainda estava ativa com o banco de dados do Twitter supostamente composto por 5,4 milhões de usuários à venda. O vendedor no fórum de hackers usa o nome de usuário “devil” e afirma que o conjunto de dados inclui “Celebridades, empresas, aleatórios, OGs, etc”.

Fonte: RestorePrivacy.com

A RestorePrivacy verificou com o hacker “devil” que as informações no banco de dados são legítimas e foi informado de que estão vendendo por “nada inferior a 30k” e também apontou que ele foi extraído através da vulnerabilidade do relatório HackerOne.

O usuário do Breach Forums que vende o banco de dados também postou uma amostra dos dados.

Análise e verificação da amostra de dados

A Restore Privacy baixou o banco de dados de amostra para verificação e análise. Inclui pessoas de todo o mundo, com informações de perfil público, bem como o e-mail ou número de telefone do usuário do Twitter usado com a conta.

Abaixo estão duas amostras do banco de dados que examinamos. Todas as amostras que analisamos correspondem a pessoas do mundo real que podem ser facilmente verificadas com perfis públicos no Twitter.

O vendedor do banco de dados disse ao RestorePrivacy que todas as informações já foram divulgadas no relatório do HackerOne. O vendedor está pedindo pelo menos US $ 30.000 pelo banco de dados, que agora está disponível devido à “incompetência do Twitter” de acordo com o vendedor.

Na sexta-feira, 22 de julho, um porta-voz do Twitter disse ao The Record que a empresa está “revisando os dados mais recentes para verificar a autenticidade das alegações e garantir a segurança das contas em questão”.

“Recebemos um relatório deste incidente há vários meses por meio de nosso programa de recompensas de bugs, imediatamente investigamos minuciosamente e corrigimos a vulnerabilidade. Como sempre, estamos comprometidos em proteger a privacidade e a segurança das pessoas que usam o Twitter”, disse o porta-voz do Twitter.

“Somos gratos à comunidade de segurança que se engaja em nosso programa de recompensas por bugs para nos ajudar a identificar potenciais vulnerabilidades como essa. Estamos analisando os dados mais recentes para verificar a autenticidade das reivindicações e garantir a segurança das contas em questão.”

O Twitter não respondeu aos pedidos de comentários sobre o que seria feito para as contas em questão, uma vez que confirmam que o banco de dados tem informações legítimas

Fonte: Restore Privacy & The Record

As 5 principais ameaças internas à segurança de dados e como lidar com elas

 As 5 principais ameaças internas à segurança de dados e como lidar com elas. Ataques cibernéticos externos representam apenas metade das causas principais das violações de dados.

Ao considerar estratégias de segurança cibernética para proteção de dados, a proteção contra ameaças externas geralmente é a primeira da lista. No entanto, os ataques cibernéticos de destaque representam apenas metade das causas principais das violações de dados, de acordo com o relatório 2020 Cost of a Data Breach Report  divulgado pelo Ponemon Institute e pela IBM Security. O resto é devido a ameaças de segurança interna e falhas no sistema.

O fator humano geralmente é o mais difícil de controlar e prever quando se trata de proteção de dados. Algumas empresas investem em treinamento de funcionários na esperança de que uma força de trabalho bem treinada, ciente das consequências financeiras e de reputação das violações de dados, seja suficiente para aumentar a vigilância e impedir práticas de segurança inadequadas. No entanto, a verdade é que, em muitos casos, as organizações estão a apenas um funcionário descuidado de um incidente de segurança prejudicial. Também há sempre o perigo potencial de insiders mal-intencionados e funcionários insatisfeitos que desejam prejudicar a reputação de uma empresa ou roubar dados ao sair de uma organização.

Mas quais são as ameaças internas mais comuns que comprometem a segurança dos dados de uma empresa? Vamos dar uma olhada nos cinco mais prevalentes:

1. Phishing e engenharia social

Os ataques de phishing e engenharia social tornaram-se duas das formas mais populares de hackers se infiltrarem em uma rede e espalhar malware e ransomware. Embora sejam ameaças tecnicamente externas, eles contam com funcionários fáceis de enganar. Os cibercriminosos enganam os internos para que revelem suas credenciais ou cliquem em links ou anexos infectados se passando por amigos ou outras fontes confiáveis ​​ou oferecendo prêmios inesperados de marcas procuradas. Uma vez dentro, eles podem facilmente comprometer a segurança da rede. Embora o software antimalware e antivírus possa ajudar a prevenir ataques de phishing identificando e-mails suspeitos, a engenharia social é melhor tratada por meio de treinamento de conscientização de segurança. Os funcionários devem ser instruídos sobre como invasores externos podem abordá-los e como eles precisam reagir quando receberem solicitações suspeitas. Uma compreensão da engenharia social é essencial para evitá-la. O know-how também deve ser posto à prova para identificar eventuais pontos fracos entre os funcionários.

2. Compartilhamento de dados fora da empresa

Funcionários que compartilham dados confidenciais da empresa, como propriedade intelectual ou informações confidenciais protegidas por leis de proteção de dados, como informações pessoais ou dados de saúde, publicamente ou com terceiros fora da empresa, podem significar um desastre. Isso geralmente acontece por descuido: um botão responder a todos é pressionado em vez de uma resposta simples, as informações são enviadas para o endereço de e-mail errado ou algo é publicado acidentalmente. Esses tipos de incidentes raramente são ajudados pelo treinamento, pois representam erros humanos aos quais todos estamos propensos. Softwares especializados, como ferramentas de prevenção contra perda de dados (DLP), podem ajudar as organizações a rastrear dados confidenciais e garantir que sua transferência, seja por e-mail ou outros serviços da Internet, seja limitada ou totalmente bloqueada. Algumas soluções de DLP, como o Endpoint Protector, oferecem a opção de configurar permissões e políticas de segurança diferentes com base no departamento e no horário de trabalho de um funcionário.

3. Shadow IT

O uso de software, aplicativos ou serviços de Internet de terceiros não autorizados no local de trabalho é muitas vezes difícil de rastrear pelo departamento de TI, que é a origem do termo shadow IT. As razões para a prevalência de shadow IT são bastante simples: os funcionários usam aplicativos conhecidos para coisas como compartilhamento de arquivos e mensagens por hábito porque melhoram sua eficiência e aliviam sua carga de trabalho ou são mais fáceis de usar do que as alternativas autorizadas pela empresa. Isso é problemático porque as empresas, na maioria das vezes, não sabem que isso está acontecendo, criando essencialmente um ponto cego nas estratégias de segurança cibernética. Outro perigo são as possíveis vulnerabilidades desses serviços de terceiros, que podem levar a vazamentos de dados ou violações de segurança, mas também a não conformidade com a legislação de proteção de dados, o que pode levar a multas pesadas. Shadow IT geralmente sinaliza uma falha por parte da empresa em fornecer aos funcionários as ferramentas certas para realizar suas tarefas. As organizações devem ter um diálogo aberto com seus funcionários para entender suas necessidades tecnológicas e tentar o seu melhor para atendê-las. As ferramentas de DLP também podem ajudar as empresas a impedir que os funcionários enviem informações confidenciais para esses serviços não autorizados. Ao monitorar essas tentativas, eles podem obter uma melhor compreensão da shadow IT em sua organização.

4. Uso de dispositovos não autorizados

Muitas políticas de proteção de dados concentram-se em transferências de dados fora da rede da empresa pela internet e não consideram outro método muito utilizado: dispositivos portáteis. Os USBs, em particular, há muito são a ruína das estratégias de proteção de dados. Fáceis de perder ou roubar, mas convenientes de usar, os USBs levaram a algumas violações de dados desastrosas, como o agora infame incidente de segurança do Aeroporto de Heathrow em que um funcionário descuidado perdeu um USB com mais de 1.000 arquivos confidenciais, incluindo informações pessoais e de segurança altamente confidenciais . A maneira mais fácil de evitar esse tipo de violação é bloquear completamente o acesso dos funcionários às portas USB e periféricas. No entanto, não há como negar a utilidade dos USBs no local de trabalho. Para empresas que ainda desejam usar USBs, existem proteções que podem ser implementadas para lidar com essas ameaças de segurança cibernética. A principal delas é a criptografia obrigatória de todos os arquivos transferidos para pendrives, combinada com uma política de dispositivos confiáveis ​​que permitiria que apenas dispositivos confiáveis ​​se conectassem a um computador da empresa.

5. Roubo físico de dispositivos da empresa

No ambiente de trabalho cada vez mais móvel de hoje, os funcionários geralmente levam seus computadores de trabalho e dispositivos portáteis para fora do escritório. Seja trabalhando remotamente, visitando clientes ou participando de eventos do setor, os dispositivos de trabalho frequentemente deixam a segurança das redes da empresa e se tornam mais vulneráveis ​​a roubos físicos e adulterações externas. A criptografia é sempre uma boa solução para se proteger contra roubo físico. Sejam laptops, telefones celulares ou USBs, a criptografia elimina a possibilidade de que qualquer pessoa que os roube possa acessar as informações contidas neles. A ativação das opções de apagamento remoto também pode ajudar as organizações a apagar todos os dados de dispositivos roubados à distância.

Fonte: Endpoint Protector

10 principais ataques de segurança cibernética da última década

10 principais ataques de segurança cibernética da última década que não serão esquecidas e mostram o que está por vir.

Aqui estão as 10 principais vulnerabilidades de rede da Trustwave que definiram uma década e “não serão esquecidas”. 

Passado é prólogo, escreveu William Shakespeare em sua peça “A Tempestade”, o que significa que o presente muitas vezes pode ser determinado pelo que veio antes. Assim é com a segurança cibernética, que serve de base para a “Decade Retrospective: The State of Vulnerabilities” da Trustwave nos últimos 10 anos. O filósofo espanhol George Santayana é creditado com o aforismo “Aqueles que não podem aprender com a história estão condenados a repeti-la” .  

Estas afirmações são  é particularmente verdadeira quando se trata de segurança cibernética. Os agentes de ameaças reutilizam vulnerabilidades conhecidas e corrigidas anteriormente e tentam tirar proveito das organizações que cometem o mesmo erro repetidamente. Assim, se alguém não souber o que aconteceu recentemente, isso o deixará vulnerável a outro ataque.

Os agentes de ameaças frequentemente revisitam vulnerabilidades conhecidas e corrigidas anteriormente para aproveitar a falta de higiene contínua da segurança cibernética. “Se alguém não sabe o que aconteceu recentemente, fica vulnerável a outro ataque”, disse a Trustwave em seu relatório que identifica e examina os “momentos divisores de águas” que moldaram a segurança cibernética entre 2011 e 2021.

Enorme crescimento nas vulnerabilidades relatadas nos últimos anos

É difícil contar a história completa sobre o cenário de segurança de rede da última década porque as ferramentas de segurança e os registradores de eventos evoluíram tanto recentemente que muitas das métricas que consideramos garantidas hoje simplesmente não existiam 10 anos atrás. No entanto, os dados disponíveis fornecem informações suficientes para identificar algumas tendências significativas. A tendência mais óbvia, com base em fontes como o National Vulnerability Database (NVD), Exploit-DB, VulnIQ e os próprios dados de segurança da Trustwave, é que os incidentes de segurança e vulnerabilidades individuais têm aumentado em número e se tornado mais sofisticados.

Distribuição da gravidade da vulnerabilidade ao longo do tempo ( Fonte: NVD )

O gráfico acima mostra um aumento constante no número de vulnerabilidades relatadas ao NVD de 2011 a 2016, seguido por um aumento exponencial em 2017 e um aumento contínuo a cada ano a partir de então. O aumento em 2017 pode ter vindo de uma coleção mais extensa de produtos de software catalogados no NVD. No entanto, é significativo observar que as explorações de aplicativos da Web dominaram a década, conforme visto no gráfico abaixo (consulte a Figura 2).

Exploits por tipo ao longo da década ( Fonte: Exploit-DB )

CWE

As portas 80 e 443 lideram a lista de portas comumente abertas, portanto, não é surpresa que as explorações de aplicativos da Web dominaram a década. Revendo o CWE ao longo do tempo (Figura 3), o CWE-79 , também conhecido como ‘XSS’, parecia ser a falha que estava no topo da lista todos os anos.

TOP 10

Com mais de 100.000 vulnerabilidades rastreadas no NVD de 2011 a 2021 e uma ampla variedade de fornecedores/produtos envolvidos, não foi fácil escolher 10 das falhas de segurança de rede mais notórias. Também não era viável chamar e listar todas as vulnerabilidades que ameaçavam o mundo de TI na última década. No entanto, com isso dito, aqui está a nossa escolha dos 10 problemas e violações de segurança de rede mais proeminentes e notáveis ​​​​(em nenhuma ordem específica) que não serão esquecidos.

Hack da SolarWinds e violação do FireEye

Detectado: 8 de dezembro de 2020 (FireEye)
Corrigido: 13 de dezembro de 2020
Status: Ativo. Os hackers plantaram uma atualização maliciosa de backdoor, apelidada de SUNBURST, em cerca de 18.000 clientes, concedendo aos invasores a capacidade de modificar, roubar e destruir dados. Atualmente, existem servidores infectados e os ataques ainda ocorrem devido ao fato de as empresas não terem conhecimento de vetores de ataque inativos configurados antes do patch.

Exploração EternalBlue

Detectado: 14 de abril de 2017
Corrigido: 14 de março de 2017 (Corrigido após a NSA alertar a Microsoft)
Status: Ativo. Shodan, um mecanismo de busca popular para dispositivos conectados à Internet, lista atualmente mais de 7.500 sistemas vulneráveis.

Heartbleed

Detectado: 21 de março de 2014
Atualizado: 7 de abril de 2014
Status: Ativo. Seis anos depois, essa vulnerabilidade continua sendo alvo de invasores devido ao volume de servidores voltados ao público sem patches.

Shellshock, execução remota de código em BASH

Detectado: 12 de setembro de 2014
Atualizado: 24 de setembro de 2014
Status: Inativo. Explorada pela última vez com a Sea Turtle Campaign, a vulnerabilidade foi considerada ainda mais grave que o Heartbleed porque permitia que um invasor assumisse o controle total de um sistema sem ter um nome de usuário e senha.

Apache Struts Remote Command Injection & Equifax Breach

Detectado: 6 de março de 2017
Corrigido: 5 de setembro de 2017
Status: Inativo. Pouco depois de ser divulgado, o Apache emitiu o patch de segurança de emergência S2-045 para a vulnerabilidade. Meses depois, a gigante de relatórios de crédito Equifax anunciou que hackers obtiveram acesso aos dados da empresa, potencialmente comprometendo informações confidenciais de 143 milhões de pessoas nos EUA, Reino Unido e Canadá.

Chipocalypse, Vulnerabilidades de Execução Especulativa Meltdown & Specter

Status: Inativo (Nenhuma exploração encontrada em estado selvagem). No início de 2018, pesquisadores de segurança divulgaram vulnerabilidades significativas nas CPUs que executam a maioria dos computadores do mundo. Essas falhas foram apelidadas de Meltdown e Spectre e pertencem a uma classe de falhas chamadas vulnerabilidades de execução especulativa.

BlueKeep, área de trabalho remota como vetor de acesso

Detectado: janeiro de 2018
Atualizado: abril de 2018
Status: Ativo. Mais de 30.000 instâncias vulneráveis ​​foram encontradas. Desde 2016, os invasores usam cada vez mais o Remote Desktop Protocol (RDP) para direcionar computadores para comprometimento, explorando sessões RDP vulneráveis ​​para roubar dados pessoais, credenciais de login e instalar ransomware.

Série Drupalgeddon, Vulnerabilidades CMS

Detectado: janeiro de 2018
Status: Ativo. Mais de 2.000 instâncias vulneráveis ​​foram encontradas no Shodan.

Vulnerabilidade OLE do Microsoft Windows, Exploração Sandworm

Detectado: 3 de setembro de 2014
Atualizado: 15 de outubro de 2014
Status: Inativo. A vulnerabilidade existe na forma como o gerenciador de pacotes OLE baixou e executou os arquivos INF. A vulnerabilidade está em uso desde agosto de 2013, distribuída principalmente por meio de documentos do PowerPoint armados.

Vulnerabilidades Ripple20, cenário crescente de IoT

Detectado: 16 de junho de 2020
Corrigido: 3 de março de 2020
Status: Ativo. As vulnerabilidades foram chamadas coletivamente de Ripple20 para ilustrar o “efeito cascata” que esses defeitos de segurança terão nos dispositivos conectados nos próximos anos. Quando explorado adequadamente, um invasor pode obter controle total sobre um dispositivo de rede interno de fora do perímetro da rede por meio do gateway voltado para a Internet.

O que vem a seguir? A Era dos Zero Dias

O relatório da Trustwave pergunta e responde três perguntas sobre por que seus dados são “relevantes”:

P. Por que existem tantos servidores vulneráveis ​​expostos publicamente?
A. A falta de capacidade de rastrear e registrar vários serviços em execução em uma rede.

P. Por que os patches não estão sendo aplicados?
A. A capacidade de garantir e aplicar patches aos ativos da organização sem interromper o fluxo de trabalho.

P. Por que as organizações não estão trabalhando para corrigir suas falhas de segurança?
A. A reação lenta aos dias zero descobertos.

2021 abriu em grande estilo com os bugs do Exchange Server RCE e terminando com a exploração do Log4j em 2022, vemos um aumento acentuado no número de vulnerabilidades de dia zero. O projeto de rastreamento de dia zero mostra que o número de dias zero aumentou duas vezes em comparação com 2020. Mais de 59 dias zero foram registrados em 2021. Essas vulnerabilidades de dia zero criaram um pesadelo de segurança cibernética para organizações que incorreram em cerca de US$ 6 trilhões em danos. Para piorar as coisas para as equipes de segurança cibernética é o fato de que, à medida que as Provas de Conceitos (POCs) se tornaram publicamente disponíveis, os principais agentes de ameaças e até mesmo os amadores se juntaram à caça e exploração de instâncias vulneráveis, aumentando os problemas de registro.

Muitos pesquisadores vendem suas explorações de dia zero por grandes somas de dinheiro para programas de recompensas como Zerodium ou para indivíduos particulares na Dark Web.

A próxima década não começou bem para as equipes de segurança cibernética. A pandemia obrigou as empresas a adotarem um modelo de trabalho a partir de casa, o que levou a mais problemas de segurança com a implementação de novas tecnologias com menos formação. Esta tendência vai ficar com algumas grandes empresas, mesmo tornando-se uma mudança permanente.

Com a adição de novas abordagens de segurança, tecnologia de firewall aprimorada, sistemas sofisticados de detecção e resposta de ponto final (EDR) e implementação de IA, mostra como a necessidade gera inovação rápida. As soluções de segurança cibernética tiveram um grande progresso ao longo dos anos e estão em ótima forma para enfrentar o que ainda está por vir.

Fonte: MSSP Alert & Trustwave

Hackers russos usam DropBox e Google Drive para descarregar cargas maliciosas

 Hackers russos usam DropBox e Google Drive para descarregar cargas maliciosas. APT29 tira proveito de serviços de nuvem legítimos, como Google Drive e Dropbox.

 

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT29, foi atribuído a uma nova campanha de phishing que tira proveito de serviços de nuvem legítimos, como Google Drive e Dropbox, para entregar cargas maliciosas em sistemas comprometidos.

“Acredita-se que essas campanhas tenham como alvo várias missões diplomáticas ocidentais entre maio e junho de 2022“, disse a Unidade 42 da Palo Alto Networks em um relatório de terça-feira. “As iscas incluídas nestas campanhas sugerem como alvo uma embaixada estrangeira em Portugal, bem como uma embaixada estrangeira no Brasil.“

O APT29, também rastreado sob os apelidos de Cozy Bear, Cloaked Ursa ou The Dukes, foi caracterizado como um grupo organizado de ciberespionagem que trabalha para coletar informações alinhadas aos objetivos estratégicos da Rússia.

Alguns aspectos das atividades da ameaça persistente avançada, incluindo o infame ataque da cadeia de suprimentos SolarWinds de 2020, são rastreados separadamente pela Microsoft sob o nome Nobelium, com Mandiant chamando-o de um ator de ameaças em evolução, disciplinado e altamente qualificado que opera com um nível elevado de segurança operacional”.

As invasões mais recentes são uma continuação da mesma operação secreta anteriormente detalhada por Mandiant e Cluster25 em maio de 2022, na qual os e-mails de spear phishing levaram à implantação de Cobalt Strike Beacons por meio de um anexo de conta-gotas HTML apelidado de EnvyScout (também conhecido como ROOTSAW) anexadas diretamente às missivas.

O que mudou nas iterações mais recentes é o uso de serviços em nuvem como Dropbox e Google Drive para ocultar suas ações e recuperar malware adicional em ambientes de destino. Diz-se que uma segunda versão do ataque observado no final de maio de 2022 se adaptou ainda mais para hospedar o dropper HTML no Dropbox.

“As campanhas e as cargas úteis analisadas ao longo do tempo mostram um forte foco em operar sob o radar e reduzir as taxas de detecção“, observou Cluster25 na época. “A esse respeito, mesmo o uso de serviços legítimos como Trello e Dropbox sugere que a vontade do adversário de operar por um longo tempo nos ambientes das vítimas permanecendo indetectável“.

O EnvyScout , por sua vez, serve como uma ferramenta auxiliar para infectar ainda mais o alvo com o implante de escolha do ator, neste caso, um executável baseado em .NET que está oculto em várias camadas de ofuscação e usado para exfiltrar informações do sistema, bem como executar binários de próximo estágio, como Cobalt Strike, obtidos do Google Drive.

“O uso dos serviços DropBox e Google Drive […] é uma nova tática para esse ator e que se mostra difícil de detectar devido à natureza onipresente desses serviços e ao fato de serem confiáveis ​​​​por milhões de clientes em todo o mundo“, disseram os pesquisadores.

As descobertas também coincidem com uma nova declaração do Conselho da União Europeia, chamando a atenção para o aumento de atividades cibernéticas maliciosas perpetradas por agentes de ameaças russos e “condenando esse comportamento inaceitável no ciberespaço”.

“Esse aumento de atividades cibernéticas maliciosas, no contexto da guerra contra a Ucrânia, cria riscos inaceitáveis ​​de efeitos colaterais, má interpretação e possível escalada“, disse o Conselho em comunicado à imprensa.

Fonte: The Hacker News

Novo ransomware Luna e Black Basta criptografa sistemas Windows, Linux e ESXi

 Novo ransomware Luna e Black Basta criptografa sistemas Windows, Linux e ESXi. Luna parece adaptado para ser usado por agentes russos.

Novas famílias de ransomware chamada Luna e Black basta podem ser usadas para criptografar dispositivos que executam vários sistemas operacionais, incluindo sistemas Windows, Linux e ESXi.

Descoberto por pesquisadores de segurança da Kaspersky por meio de um anúncio no fórum de ransomware da dark web, detectado pelo sistema de monitoramento ativo Darknet Threat Intelligence da empresa, o Luna ransomware parece ser especificamente adaptado para ser usado apenas por agentes de ameaças de língua russa.

“O anúncio afirma que Luna só trabalha com afiliados de língua russa. Além disso, a nota de resgate codificada dentro do binário contém erros de ortografia. Por exemplo, diz ‘uma pequena equipe’ em vez de ‘uma pequena equipe‘”, disse Kaspersky .

“Por causa disso, assumimos com confiança média que os atores por trás de Luna são falantes de russo.“

Luna (russo para lua) é um ransomware muito simples ainda em desenvolvimento e com recursos limitados com base nas opções de linha de comando disponíveis.

No entanto, ele usa um esquema de criptografia não tão comum, combinando a troca de chaves Diffie-Hellman de curva elíptica X25519 rápida e segura usando Curve25519 com o algoritmo de criptografia simétrica Advanced Encryption Standard (AES).

Argumentos de linha de comando do Luna ransomware (Kaspersky)

Ransomware multiplataforma baseado em Rust

O grupo por trás desse novo ransomware desenvolveu essa nova variedade no Rust e aproveitou sua natureza agnóstica de plataforma para portá-lo para várias plataformas com poucas alterações no código-fonte.

O uso de uma linguagem multiplataforma também permite que o Luna ransomware evite tentativas automatizadas de análise de código estático.

“Tanto os exemplos do Linux quanto do ESXi são compilados usando o mesmo código-fonte com algumas pequenas alterações em relação à versão do Windows. O restante do código não tem alterações significativas em relação à versão do Windows“, acrescentaram os pesquisadores.

Luna confirma ainda a última tendência adotada por gangues de crimes cibernéticos que desenvolvem ransomware multiplataforma que usa linguagens como Rust e Golang para criar malware capaz de atingir vários sistemas operacionais com pouca ou nenhuma alteração.

Kaspersky diz que há muito poucos dados sobre quais vítimas foram criptografadas usando o ransomware Luna, se houver, já que o grupo acabou de ser descoberto e sua atividade ainda está sendo monitorada.

Outras novas famílias de ransomware que a BleepingComputer relatou este mês incluem Lilith , ransomware baseado em console C/C++ direcionado a dispositivos Windows de 64 bits, e 0mega , uma nova operação de ransomware direcionada a empresas desde maio e exigindo milhões de dólares em resgates.

Ambos são conhecidos por roubar dados das redes das vítimas antes de criptografar seus sistemas em apoio a seus ataques de dupla extorsão.

Black Basta

Black Basta é uma variante de ransomware relativamente nova escrita em C que veio à tona em fevereiro de 2022. O malware, a infraestrutura e a campanha ainda estavam em modo de desenvolvimento na época. Por exemplo, o blog da vítima ainda não estava online, mas o site Black Basta já estava disponível para as vítimas.

Black Basta suporta o argumento de linha de comando “-forcepath” que é usado para criptografar apenas arquivos em um diretório especificado. Caso contrário, todo o sistema, com exceção de certos diretórios críticos, é criptografado.

Dois meses após o primeiro encontro, em abril, o ransomware ficou mais maduro. A nova funcionalidade incluiu a inicialização do sistema no modo de segurança antes da criptografia e a imitação dos Serviços do Windows por motivos de persistência.

A funcionalidade de reinicialização em modo de segurança não é algo que encontramos todos os dias, embora tenha suas vantagens. Por exemplo, algumas soluções de endpoint não são executadas no modo de segurança, o que significa que o ransomware não será detectado e os arquivos no sistema podem ser “facilmente” criptografados. Para iniciar no modo de segurança, o ransomware executa os seguintes comandos: C:\Windows\SysNative\bcdedit

Comparação de notas de resgate

Para verificar se realmente não havia sobreposição de código entre o Conti e as versões anteriores do Black Basta, a equipe da Kaspersky alimentou algumas amostras no Kaspersky Threat Attribution Engine (KTAE). De fato, como mostrado abaixo, apenas as strings se sobrepõem. Portanto, não há sobreposição no código em si.

Overlap com Conti ransomware

Black Basta para Linux

Em outro relatório que a equipe da Kaspersky escreveu no mês passado, foi discutido a versão Black Basta para Linux. Ele foi projetado especificamente para atingir sistemas ESXi, mas também pode ser usado para criptografia geral de sistemas Linux, embora isso seja um pouco complicado. Assim como a versão para Windows, a versão para Linux suporta apenas um argumento de linha de comando: “-forcepath”. Quando é usado, apenas o diretório especificado é criptografado. Se nenhum argumento for fornecido, a pasta “/vmfs/volumes” será criptografada.

O esquema de criptografia para esta versão usa ChaCha20 e multithreading para acelerar o processo de criptografia com a ajuda de diferentes processadores no sistema. Como os ambientes ESXi normalmente usam várias CPUs para executar um farm de VMs, o design do malware, incluindo o algoritmo de criptografia escolhido, permite que o operador tenha o ambiente criptografado o mais rápido possível. Antes de criptografar um arquivo, o Black Basta usa o comando chmod para ter acesso a ele no mesmo contexto que o nível de usuário.

Alvos de Black Basta

A análise das vítimas postadas pelo grupo Black Basta revelou que, até o momento, o grupo conseguiu atacar mais de quarenta vítimas diferentes em um tempo muito curto disponível. O blog da vítima mostrou que vários setores de negócios foram afetados, incluindo manufatura, eletrônicos, empreiteiros, etc. Com base em nossa telemetria, pudemos ver outros ataques na Europa, Ásia e Estados Unidos.

Conclusão

Ransomware continua sendo um grande problema para a sociedade de hoje. Assim que algumas famílias saem do palco, outras tomam seu lugar. Por esse motivo, é importante ficar por dentro de todos os desenvolvimentos no ecossistema de ransomware, para que se possa tomar as medidas adequadas para proteger a infraestrutura. Uma tendência, que também discutimos em nosso post anterior, é que os sistemas ESXi são cada vez mais direcionados. O objetivo é causar o máximo de dano possível. Luna e Black Basta não são exceções. Esperamos que as novas variantes também ofereçam suporte à criptografia de VMs por padrão.

Fonte: BleepingComputer & Securelist