Objetivo dos ataques é principalmente a áreas de saúde, comunicações, manufatura e educação nos EUA e também no Brasil
O CLM, grupo com foco em soluções para segurança da informação, proteção de dados, cloud e infraestrutura para data centers, que tem filial no Brasil, repercute relatório produzido pelo Picus Labs, laboratório da Picus Security, pioneira em simulação de violação e ataques, sobre as principais ciberameaças praticadas no último mês de março.
Francisco Camargo, CEO do grupo CLM, alerta sobre a importância de adoção de soluções de proteção preventivas e realmente eficazes por parte das corporações. “Na CLM nos preocupamos muito com o aumento dos ataques. As organizações que não estão preparadas podem ter danos importantes, mas mais do que isso, sua vulnerabilidade é a vulnerabilidade do país e reduzem a resiliência do Brasil como um todo”, disse ele.
Com base em uma análise de mais de meio milhão de amostras de softwares maliciosos, os malwares, o relatório Picus Red Report, da Picus, de 2023, reconheceu as dez técnicas Mitre Att&CK mais comumente usadas pelos criminosos cibernéticos. Mitre att&ck é uma ferramenta de avaliação desenvolvida pela Mitre Corporation para auxiliar as companhias a entender sua preparação para segurança e descobrir vulnerabilidades em seus métodos de defesa.
A Cisa (Agência Cibernética e Infraestrutura), dos Estados Unidos, lançou um comunicado sobre o ransomware Royal (DEV-0569), que tem por objetivo principalmente áreas como as de saúde, comunicações, manufatura e educação nos Estados Unidos e também no Brasil. Os ciberatacantes do ransomware Royal empregam diversas TTPs (Táticas, Técnicas e Procedimentos) em seus ataques. No início, conseguem acesso e estabelecem persistência nos sistemas das vítimas com engenharia social. Além disso, exploram aplicativos públicos vulneráveis e lançam campanhas para enganar os usuários, os phishing, com anexos e links maliciosos.
Para Camargo, o mundo digital continuará a testemunhar ataques cada vez mais perigosos, impondo importante desafio aos diretores de segurança da informação, os Cisos, bem como aos desenvolvedores de tecnologias de cibersegurança, muito por causa das inúmeras vulnerabilidades zero-day descobertas e compartilhadas (vendidas) na dark web.
As cinco ciberameaças mais perigosas perpetradas em março, além do ransomware Royal (DEV-0569), foram o escalonamento de privilégios do Outlook. O CVE-2023-23397 é uma vulnerabilidade crítica encontrada no Microsoft Outlook que permite que os invasores obtenham credenciais de autenticação de usuários (Net-NTLMv2) sem qualquer interação com eles. “Esta vulnerabilidade acontece em decorrência da incapacidade de o Outlook lidar com propriedades de lembretes específicas.
A seguir vem a execução remota de código do MS Word. Invasores conseguem executar um código arbitrário com os privilégios da vítima por meio de arquivos RTF após o lançamento pela Microsoft, em 14 de fevereiro de 2023, de um patch para resolver grave vulnerabilidade de execução remota de código no analisador RTF do Microsoft Office Word, CVE-2023-21716, como parte das correções para erros do sistema, o Patch Tuesday. Essa vulnerabilidade tem uma pontuação CVSS crítica, de 9,8.
Já o LockBit 3.0 tem como alvo vários setores e países. Ele foi criado pela gangue LockBit, na atividade desde 2022 e responsável por quase 40% dos ataques de ransomware no mundo. Estima-se que esse grupo tenha recebido cerca de US$ 100 milhões com suas campanhas de ataque, tornando-se um dos grupos de ransomware mais produtivo.
Telerik UI. Comunicado conjunto entre a Cisa, o FBI, a Polícia Federal dos Estados Unidos, e a MS-ISAC (Multi-State Information Sharing & Analysis Center) traz com detalhes a exploração de uma vulnerabilidade crítica do Progress Telerik (CVE-2019-18935) impetrada por cibercriminosos, incluindo um APT, direcionado a uma agência federal civil norte-americana. Esta vulnerabilidade, com pontuação CVSS de 9,8, deve-se a uma falha de desserialização .NET na função RadAsyncUpload da IU Progress Telerik para versões ASP.NET AJAX anteriores a 2019.3.1023.
E, por fim, Grupo de ransomware Magniber, que afeta o Windows 10, 11 e o Server 2016 e versões posteriores. Envolve um desvio de segurança do Windows SmartScreen, explorada por criminosos para distribuir o ransomware Magniber. Os pesquisadores do Google TAG vincularam esse exploit ao ransomware Magniber.
