Conclusão dos ataques cibernéticos - dezembro de 2020

Os atores da ameaça estiveram ativos como sempre durante dezembro de 2020, encerrando um ano já difícil com uma grande ramificação.

TA542 de volta com uma vingança

TA542 de volta com uma vingança
TA542 que voltou à ativa após um mês e meio de intervalo.

Vamos começar com o grupo de ameaças TA542 (também conhecido como Mummy Spider, ATK 104 e Mealybug) que voltou à ativa após um mês e meio de intervalo. O grupo relançou seu Emotet botnet, entregando documentos com macros maliciosos que, uma vez habilitados, conectavam-se a sete domínios maliciosos para baixar a carga útil Emotet. Algumas das vítimas incluíam o Centro Nacional de Saúde Pública (NVSC) da Lituânia e vários municípios. Os e-mails enviados foram disfarçados como respostas a conversas anteriores, o que contornou a detecção por soluções anti-malware. E-mails em cadeia de resposta é uma tática conhecida da Emotet. As cargas maliciosas incluíam os cavalos de Troia QakBot e Trickbot (que também implantam Ryuk e Conti ransomware).

Nefilim ataca novamente

O Nefilim, que tem estado muito ativo desde o início da pandemia COVID-19.

TA542 não foi o único grupo de atores de ameaças ativo em dezembro. O Nefilim, que tem estado muito ativo desde o início da pandemia COVID-19, lançou um ataque de ransomware bem-sucedido contra a Whirlpool. Os atores da ameaça roubaram dados corporativos antes de criptografá-los. Arquivos roubados da Whirlpool durante um ataque de ransomware foram publicados pela Nefilim. Os dados vazados incluíram documentos relacionados a benefícios para funcionários, solicitações de acomodação, solicitações de informações médicas, verificação de antecedentes e muito mais.

Randstad atacado por ransomware

Randstad atacado por ransomware
O recrutador Randstad estava recebendo um ataque de ransomware Egregor.

O recrutador Randstad estava recebendo um ataque de ransomware Egregor. O Ransomware-as-a-Service (RaaS) gripo Egregor emergiu em setembro de 2020 das cinzas do agora extinto grupo de ransomware Maze. A Egregor acessou o ambiente global de TI da Randstad e os dados relativos às suas operações nos Estados Unidos, Polônia, Itália e França. Um subconjunto dos dados foi publicado, uma tática bem conhecida de grupos de ransomware para pressionar suas vítimas a pagar o resgate.

FireEye atingido por ataque cibernético

FireEye atingido por ataque cibernético
A FireEye, com sede nos Estados Unidos, anunciou que havia sido hackeada, provavelmente por um país estrangeiro.

Mesmo as empresas de segurança cibernética não estavam totalmente seguras. A FireEye, com sede nos Estados Unidos, anunciou que havia sido hackeada, provavelmente por um país estrangeiro. Os atores da ameaça roubaram ferramentas de hacking interno que a empresa normalmente usa para testar privadamente as defesas de rede de seus próprios clientes. Essas “ferramentas do Red Team” replicam as ferramentas de hacking mais sofisticadas do mundo para procurar vulnerabilidades em sistemas.

Fox Kitten

Fox Kitten
Fox Kitten, também estava ativo, suspeito de estar por trás dos ataques de ransomware.

O grupo APT, apoiado pelo Irã, Fox Kitten, também estava ativo, suspeito de estar por trás dos ataques de ransomware, o Pay2Key, contra Israel e Brasil. A Fox é especializada em campanhas de ciberespionagem e roubo de dados. Anteriormente, o grupo vendeu acesso a redes corporativas comprometidas a outros agentes de ameaça na dark web e forneceu acesso às redes de entidades comprometidas ao APT33 (também conhecido como Elfin e Magnallium), um grupo de hackers iraniano.

A Fox Kitten tem usado ataques de ransomware Pay2Key nos últimos dois meses para roubar informações confidenciais da indústria, seguradoras e empresas de logística, explorando vulnerabilidades em, por exemplo, Pulse Secure, Fortinet, F5, produtos Global Protect VPN e Remote Desktop Protocol (RDP) para obter acesso às redes vitimadas e entregar suas cargas maliciosas. Uma das vítimas era a empresa de software de transporte e carga Amital; cerca de 40 clientes da Amital foram comprometidos no ataque à cadeia de abastecimento.

Ataque ao Parlamento da Finlândia

Ataque ao Parlamento da Finlândia
Um ataque contra o Parlamento da Finlândia que ocorreu no final de dezembro comprometeu as contas de e-mail de vários membros.

Um ataque semelhante contra o Parlamento da Finlândia ocorreu no final de dezembro. Os atores da ameaça comprometeram as contas de e-mail de vários membros do parlamento e obtiveram informações que poderiam beneficiar um estado estrangeiro ou prejudicar a Finlândia. O ataque se assemelhava muito ao ataque a membros do Parlamento da Noruega, quando atores da ameaça PT28 apoiados pelo Estado russo hackearam um grande número de contas de e-mail de Stortinget por meio de força bruta e logaram nas contas de e-mail dos parlamentares.

Visão geral do Hack SolarWinds

Visão geral do Hack SolarWinds
Um ataque cibernético da cadeia de suprimentos global patrocinado pelo estado que teve como um dos alvos o governo dos EUA

Estamos encerrando esta visão geral com o hack SolarWinds, um ataque cibernético da cadeia de suprimentos global patrocinado pelo estado que teve como alvo o governo dos EUA, agências governamentais e várias organizações públicas e privadas em todo o mundo. Os atores da ameaça obtiveram acesso usando um backdoor pré-fabricado (apelidado de SUNBURST) ao software comercial SolarWinds Orion. O malware, disfarçado como uma atualização normal, foi entregue automaticamente a milhares de clientes. Uma vez que uma cadeia de suprimentos foi comprometida, o movimento lateral e o roubo de dados ocorreram.

O plug-in malicioso do SolarWinds Orion é disfarçado como um protocolo legítimo do Orion Improvement Program (OIP), comunicando-se via HTTP com servidores remotos para recuperar e executar comandos maliciosos (“Jobs”). Esses comandos incluíam a transferência e execução de arquivos, a criação de perfil e a reinicialização do sistema comprometido e a desativação dos serviços do sistema.

Os agentes da ameaça usaram servidores VPN localizados no mesmo país que suas vítimas para ocultar os endereços IP usados ​​para o ataque.

Para descobrir se sua organização está protegida contra os ataques de malware mais recentes, execute a avaliação de ameaças imediatas do Cymulate. Isso permite que você teste e verifique por si mesmo se sua organização está exposta a esses ataques. Ele também oferece sugestões de atenuações caso sua organização seja realmente vulnerável.

 

Por Eyal Aharoni | Cymulate

Teste a eficácia de seus controles de segurança contra possíveis ameaças cibernéticas com um teste de 14 dias da plataforma Cymulate.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages