Carta de nosso cientista-chefe

Bem-vindo ao nosso mais recente relatório de ameaças.

Quando iniciamos nossa jornada com a Trellix, sabíamos que a fusão de dois grandes back-ends nos daria uma perspectiva muito mais ampla do que está acontecendo no mundo em termos de ameaças cibernéticas. Esta edição inclui uma nova categoria que oferece a nossos leitores mais insights sobre os tipos de ameaças que estão sendo observadas, do ponto de vista do e-mail.

Foi com satisfação que vimos tantos de vocês na RSA, onde lançamos e apresentamos vários fragmentos de nossa pesquisa, desde uma visão geral dos ataques observados na Ucrânia até vulnerabilidades que descobrimos em dispositivos médicos e na construção de tecnologias de controle de acesso. Este relatório destaca essa pesquisa e outras ameaças e ataques predominantes observados na Internet, bem como nossos dados e descobertas no primeiro trimestre de 2022.

Quando estamos na Black Hat, na DEFCON, na RSA e em outras conferências, agradecemos os elogios e o feedback que recebemos por nosso relatório de ameaças. Não fique de fora nessas conferências. Esteja sempre à vontade para nos contatar em nossos eventos, caso tenha alguma sugestão ou informação a acrescentar.

Enquanto a próxima oportunidade não chega, confira a página do blog da Trellix Threat Labs, onde você encontra nossas pesquisas, vídeos e conteúdo sobre ameaças mais recentes. 

—John Fokker
Lead Scientist

John Fokker Twitter

A evolução do crime cibernético russo

Segundo a atribuição pública, os grupos russos de criminosos cibernéticos sempre estiveram ativos. Suas táticas, técnicas e procedimentos (TTPs) não evoluíram significativamente ao longo do tempo, embora algumas mudanças tenham sido observadas. Ultimamente, o cenário de ameaças mudou, com a fusão parcial de diversos domínios. Essa tendência já vinha ocorrendo, mas foi mais acelerada e exposta pelo aumento da atividade digital.

A Trellix já tinha uma base de clientes significativa na Ucrânia e, quando os ataques cibernéticos contra o país se intensificaram, nós nos coordenamos com o governo e com parceiros do setor para proporcionar uma visibilidade melhor sobre o cenário de ameaças em evolução. Sempre apoiamos a região contra atividades cibernéticas maliciosas e fomos além de meramente compartilhar conhecimentos, fornecendo gratuitamente uma ampla variedade de appliances de segurança na região afetada (nossos agradecimentos especiais vão para nossos parceiros da Mandiant por distribuir esses appliances nas organizações que mais precisavam de proteção).

Para apoiar nossos clientes e a população da Ucrânia, o Trellix Threat Labs coordenou-se com diversas instituições governamentais para oferecer-lhes os insights de telemetria necessários, resumos de inteligência e análises das ferramentas de malware utilizadas pelos perpetradores russos. Uma grande parte das iniciativas da Trellix foi realizada em sigilo, pois a proteção de nossos clientes é nossa maior prioridade.

Em coordenação com a RSA, a equipe do Trellix Threat Labs lançou nossa pesquisa (Growling Bears Make Thunderous Noise) sobre a evolução dos criminosos cibernéticos russos no decorrer do tempo, o impacto de uma guerra (cibernética) e a organização e a atividade observadas.

O relatório inclui pesquisas detalhadas, não só sobre o impacto da guerra cibernética após a invasão russa, mas também sobre muitos grupos cibernéticos e campanhas associados ao conflito:

• Phishing contra o Ministério da Defesa da Ucrânia
• Gamaredon
• Wipers
• Servidores Exchange visados
• UAC-0056
• Apt28
• Double Drop

Leia mais sobre a evolução do crime cibernético russo no relatório completo.

Metodologia

Os sistemas de back-end da Trellix fornecem a telemetria que utilizamos como fonte de dados para nossos relatórios trimestrais de ameaças. Nós combinamos nossa telemetria com inteligência de fontes abertas sobre ameaças e nossas próprias investigações sobre ameaças predominantes, como ransomware, atividades de governos etc.

Quando falamos em telemetria, referimo-nos a detecções, e não infecções. Uma detecção é registrada quando um arquivo, URL, endereço IP ou outro indicador é detectado por um de nossos produtos e relatado para nós.

A privacidade de nossos clientes é fundamental. Ela também é importante no que se refere à telemetria e ao mapeamento com os setores e países de nossos clientes. A base de clientes difere conforme o país e os números podem mostrar aumentos que exijam análises mais detalhadas dos dados para serem explicados. Um exemplo: o setor de telecomunicações frequentemente se destaca em nossos dados. Isso não significa, necessariamente, que esse setor é altamente visado. O setor de telecomunicações também inclui provedores de serviços de Internet, os quais possuem espaços de endereços IP que podem ser comprados por empresas. O que isso significa? Submissions from the IP-address space of the ISP are showing up as Telecom detections but could be from ISP clients that are operating in a different sector.

Ransomware nos EUA: T1 2022

No início de 2022, ficamos otimistas com a notícia de que o FSB russo havia detido vários membros da quadrilha de ransomware REvil na Rússia. Com base em nossa análise, esses integrantes desempenhavam um papel secundário no grupo criminoso, mas tínhamos a esperança de que esse frágil indício de cooperação levaria a mais prisões na Rússia.

With the Russian invasion of Ukraine at the end of February 2022, we now know that this was wishful thinking. A guerra tornou-se um catalisador para divisões entre os criminosos cibernéticos. Historicamente, a política costuma ser deixada de lado pelos criminosos cibernéticos, e achávamos que criminosos russos e ucranianos trabalhariam juntos objetivando ganhos financeiros.

A divisão em dois lados tornou-se mais evidente quando a quadrilha de ransomware Conti expôs publicamente seu apoio à administração russa e às suas ações.

Essa declaração pública não passou despercebida e, poucos dias depois, um pesquisador anônimo, utilizando a conta @contileaks no Twitter, começou a publicar comunicações internas do grupo Conti on-line. As conversas estendiam-se por vários anos e consistiam em milhares de mensagens que apelidamos de “Panama Papers do ransomware”.

A Trellix examinou extensivamente essas conversas vazadas e publicou em seu blog um artigo muito abrangente que vale a pena ser lido. Entre os destaques das conversas estão a declaração pública do grupo em apoio à administração russa e uma possível relação de estreita colaboração entre a liderança do Conti e os serviços de inteligência russos. Esses vínculos corroboram as descobertas do relatório “In the Crosshairs: Organizations and Nation-State Cyber Threats” que publicamos anteriormente em colaboração com a CSIS. Uma das principais descobertas do relatório foi que a linha divisória entre agentes estatais e não estatais está cada vez menos definida.

Inicialmente esperávamos que essa violação das comunicações tivesse um impacto forte sobre as operações da quadrilha de ransomware. Contudo, parece que eles ficaram ainda mais decididos e continuaram seus ataques, a ponto de levar um país inteiro, a Costa Rica, a um estado de emergência. Ao final do segundo trimestre de 2022, observamos infraestruturas relacionadas ao Conti sendo desmontadas. Porém, isso não era propriamente motivo de comemoração. Considerando-se que nenhum integrante do alto escalão desse grupo criminoso foi preso, bem como suas conexões com as agências de inteligência russas, deveríamos considerar a hipótese de que estivessem formando um grupo híbrido, capaz de atacar alvos escolhidos pelo governo, mas mantendo a aparência plausível de um grupo criminoso em busca de ganho financeiro. The ransomware might have a dual purpose, on the one hand being disruptive in nature and on the other hand serving as a distraction for a data exfiltration operation.

Portanto, insistimos que toda organização observe atentamente as TTPs do ransomware, especialmente se já tiver sido determinado que grupos patrocinados pelo governo russo são a ameaça mais provável.

Em termos de inovação, observamos o Conti Group visar hipervisores ESXi com sua variante Linux, aparentemente percebendo a importância dos serviços de virtualização para as organizações. Essa tendência tem sido verificada já há bastante tempo, mas com graus variáveis de êxito, resultando em máquinas virtuais corrompidas em decorrência de bloqueadores e/ou decifradores defeituosos.

Só más notícias? Não necessariamente. As estatísticas do primeiro trimestre de 2022 da empresa de resposta a incidentes de ransomware Coveware realmente mostram uma forte queda na quantidade de casos nos quais as vítimas foram obrigadas a pagar aos atacantes o valor do resgate. Isso nos dá esperança porque não pagar ainda é a melhor maneira de inviabilizar o modelo de negócios dos criminosos.

Pesquisadores da Trellix revelam falhas críticas na construção de sistemas de controle de acesso

Infraestruturas essenciais continuam sendo alvos dos mais atraentes para criminosos do mundo todo. Esse setor está repleto de sistemas antigos e sempre às voltas com falhas triviais de hardware e software, problemas de configuração e ciclos de atualização excepcionalmente lentos. Por trás dessa fachada, porém, estão muitos dos sistemas mais essenciais dos quais dependemos, como tubulações de combustível, tratamento de águas, redes elétricas, automação de edifícios, sistemas de defesa e muito mais. 

Uma área frequentemente negligenciada dos sistemas de controle industrial é o controle de acesso, parte da estrutura de automação de edifícios. Sistemas de controle de acesso são soluções comuns e práticas que oferecem automação e gerenciamento remoto para leitores de cartões e pontos de entrada/saída em locais protegidos.

Segundo um estudo realizado pela IBM em 2021, o custo médio de um comprometimento de segurança física é de US$ $3,54 milhões e o tempo médio para identificação de uma violação é de 223 dias. Há muito em jogo para organizações que dependem de sistemas de controle de acesso para garantir a segurança de suas instalações.

O Trellix Threat Labs divulgou recentemente uma pesquisa reveladora sobre um sistema desse tipo, um painel de controle de acesso muito comum produzido pela HID Mercury. Vários fornecedores OEM contam com placas e firmware da Mercury para implementar suas próprias soluções de controle de acesso. Nossa equipe compartilhou suas descobertas na Hardwear.io em Santa Clara (EUA), em 9 de junho de 2022, e estará presente também na Black Hat do meio do ano. Suas descobertas destacaram quatro vulnerabilidades de dia zero e quatro vulnerabilidades corrigidas anteriormente, nunca publicadas como CVEs, sendo que as duas principais resultavam em execução remota de código e reinicialização arbitrária, sem autenticação alguma. Isso significa que atacantes poderiam travar e destravar portas remotamente na rede de um edifício e evitar detecção através do software de gerenciamento. Os pesquisadores prepararam um blog destacando suas descobertas e farão uma análise técnica profunda em várias partes coincidindo com a Black Hat. Além disso, eles filmaram um vídeo de demonstração do ataque utilizando duas das vulnerabilidades para comprometer um sistema de controle de acesso de produção clonado em seus laboratórios.

Assista ao vídeo de demonstração

Atualizações de segurança

A Carrier publicou uma nova recomendação em sua página de segurança de produto com detalhes das falhas, além de correções e atualizações de firmware recomendadas. A aplicação das correções do fornecedor deve ser a primeira providência a tomar, sempre que possível. 

Medidas a tomar: segurança cibernética em um setor de saúde conectado

A área de medicina está sob um risco peculiar de ataque devido aos diversos dispositivos de finalidade específica utilizados, como equipamentos de anestesia, bombas intravenosas, sistemas de atendimento médico, equipamentos de ressonância magnética e vários outros. Muitos desses dispositivos não são encontrados em outros setores, tampouco em residências típicas. O fato de serem incomuns cria uma falsa percepção de segurança e menos escrutínio por parte do setor de pesquisa de segurança.

O software e os equipamentos médicos estão deixando a desejar no que se refere a práticas de segurança fundamentais e estão repletos de vulnerabilidades RCE. Isso os torna atraentes para os criminosos cibernéticos. Precisamos estar vigilantes para evitar os próximos ataques porque essa superfície de ataque não continuará ignorada para sempre. Todas as partes interessadas precisam reconhecer que o grande número de vulnerabilidades de autenticação é uma indicação de que a área médica precisa de mais pesquisa, tanto interna quanto externamente, para reforçar esses dispositivos. Precisamos nos concentrar não apenas em sistemas de gerenciamento e outros aplicativos baseados na Web, mas em qualquer dispositivo médico conectado que precise ser acessado. Aparentemente, tais dispositivos não estão sendo visados por elementos maliciosos, mas isso não significa que podemos relaxar. Há muitas vulnerabilidades RCE para escolher e código de exploração público para reutilizar. Embora os atacantes estejam utilizando outros métodos para atacar hospitais e clínicas, eles irão procurar um acesso mais fácil quando seus métodos se esgotarem. A sociedade como um todo não pode permitir que software e dispositivos médicos continuem sendo um ponto fraco a ser explorado por atacantes e, portanto, deve incentivar testes de segurança, tanto internos quanto externos, entre desenvolvedores e pesquisadores.

Leia os detalhes de nossa pesquisa em nossa recente postagem Connected Healthcare: A Cybersecurity Battlefield We Must Win. Utilizando dados públicos, como bancos de dados CVE, analisamos o estado atual da superfície de ataque na área médica e avaliamos as ameaças ativas e a distribuição das vulnerabilidades descobertas. Acreditamos que mais parcerias entre fornecedores de dispositivos médicos, instalações de atendimento médico e pesquisadores de segurança, juntamente com mais testes de segurança, certamente evitarão que uma superfície de ataque crescente torne-se ainda mais atraente para elementos maliciosos.

Aproveitamento da funcionalidade existente

Nós rastreamos perpetradores de ameaças, táticas, técnicas e procedimentos, bem como o malware utilizado. Também identificamos e divulgamos trimestralmente binários padrão não maliciosos e frequentemente necessários que podem e costumam ser aproveitados para realizar as várias fases de um ataque. Embora continue sendo necessário conhecer o malware personalizado e comoditizado, bem como as TTPs de aproveitamento da funcionalidade existente, contra os quais precisamos nos defender, também é necessário conhecer o inimigo e identificar objetivos. Ao nos aprofundarmos um pouco mais nos LoLBins, perguntamo-nos quem está utilizando nossas ferramentas contra nós e por quê. Eles não têm a capacidade de criar o malware personalizado que pode atingir o objetivo pretendido? Ou é simplesmente uma ferramenta conveniente e uma tentativa de não serem detectados? Afinal, os perpetradores de ameaças costumam ser empregados como todo mundo, têm reuniões com seus chefes, têm metas diárias, trimestrais e anuais, trabalham de forma segmentada e ganham um salário. 

Se vamos honrar nossa missão de “levar segurança viva a todos os lugares”, precisamos equipar a nós mesmos e a nossos clientes e colegas que estão na luta cotidiana para proteger nossas informações, infraestruturas e ativos críticos contra aqueles que buscam lucrar com a exploração de vulnerabilidades e o roubo de dados intelectuais e organizacionais. 

Quais binários vimos ser aproveitados e quem se aproveitou deles no primeiro trimestre de 2022? 

Tendências da segurança de e-mail: T1 2022

Análises de telemetria de e-mail do primeiro trimestre de 2022 revelaram tendências de URLs de phishing e documentos maliciosos na segurança de e-mail.

A maioria dos e-mails maliciosos detectados continha um URL de phishing utilizado para roubar credenciais ou induzir as vítimas a fazer download de malware. Como segundo lugar em popularidade, identificamos e-mails com documentos maliciosos, como arquivos do Microsoft Office ou PDFs anexados. Esses documentos contêm macros que atuam como downloaders ou explorações e que dão ao atacante controle sobre o sistema da vítima. Finalmente, encontramos vários e-mails com executáveis maliciosos, como programas para roubo de informações ou cavalos de Troia anexados.

Explorações

Quando nos concentramos nas explorações utilizadas, percebemos que a maioria delas chega na forma de arquivos RTF maliciosos, documentos do MS Office com objetos OLE armamentizados ou PDFs infectados com explorações do Adobe Reader ou scripts JS maliciosos. Na ilustração seguinte podemos ver que os três principais formatos de arquivo são o RTF do Windows, seguido pelo formato mais recente do Office e, por último, os formatos antigos do Office.