Cenário de ameaças à segurança cibernética: segundo trimestre de 2023

O número de incidentes aumentou 4% em comparação ao trimestre anterior e 17% em relação ao segundo trimestre de 2022. Ataques direcionados representam 78% do total. Os ataques cibernéticos bem-sucedidos às empresas costumam resultaram em vazamentos de informações confidenciais (67%) e interrupção das operações (44%). No segundo trimestre ocorreram vários vazamentos grandes de dados pessoais de usuários e ataques em grande escala que exploraram vulnerabilidades.

Alvo: produtos de transferência segura de dados

No primeiro trimestre, o grupo de ransomware Cl0p realizou uma extensa série de ataques corporativos, explorando uma vulnerabilidade de dia zero (CVE-2023-0669), no GoAnywhere MFT. No segundo trimestre, conseguiram explorar uma vulnerabilidade que tinham encontrado antes(CVE-2023-34362), em que era possível implantar SQL malicioso no MOVEit Transfer, um aplicativo de transferência de arquivos gerenciado (MFT) desenvolvido por Progress Software. O grupo Cl0p já tinha conhecimento das vulnerabilidades havia algum tempo, uma vez que já tinha tentado fazer coleta de dados dos servidores MOVEit comprometidos desde, pelo menos, abril de 2022.

Entre as vítimas, estavam os nomes bem conhecidos no setor de segurança cibernética. Por exemplo, a Gen Digital (Avast, CCleaner, Norton LifeLock) confirmou que uma parte dos dados pessoais de seus funcionários foi comprometida por causa do último ataque ao MOVEit. No momento da publicação deste texto, o grupo listou mais de 700 empresas no seu site de vazamentos como vítimas do ataque ao MOVEit, exigindo o pagamento de resgate .

Considerando o sucesso que o Cl0p obteve em explorar as vulnerabilidades de dia zero em softwares de transferência de arquivos gerenciados, é de se esperar que o grupo continue adotando uma estratégia similar em relação aos outros produtos da mesma categoria no futuro. A abordagem da exploração de dia zero do grupo Cl0p sugere que nem todos os grupos de ransomware buscam resultados financeiros imediatos, sendo capazes de adotar uma estratégia de longo prazo para maximizar seus lucros. Os criminosos cibernéticos entendem que atacar várias vítimas simultaneamente em um dado momento produz um impacto maior e o tempo investido é recompensado ao longo prazo.

Projetos de blockchain sob ataque

O blockchain continua sendo um objetivo atraente para os ataques que visam não apenas os protocolos, mas também contas em redes sociais para enganar usuários e roubar seus fundos: projetos em blockchain foram atingidos por criminosos cibernéticos duas vezes mais no segundo trimestre do que no primeiro. Um ataque minuciosamente orquestrado no Discord que tinha como alvo os donos de servidores de câmbio de criptomoeda culminou no prejuízo de US$ 3 milhões. Fingindo serem jornalistas, os criminosos usaram as técnicas de engenharia social para levar os administradores do servidor a verificar suas identidades, seguindo uma suposta"entrevista". Após ser encaminhado para um site malicioso, o token de usuário do Discord do administrador era roubado. Em seguida, os criminosos digitais fizeram login no servidor através da conta do administrador, expulsaram os demais administradores e publicaram uma postagem de phishing.

Contas oficiais do Twitter também foram hackeadas. Assim, os invasores publicaram um tweet falso de sorteio de criptomoedas em nome da KuCoin, prometendo dobrar a quantia para quem enviasse o valor mencionado. Durante 45 minutos em que a conta da KuCoin no Twitter ficou sob controle indevido, os usuários efetuaram operações totalizando US$ 22.600. A plataforma se comprometeu a recompensar todos os danos.

Além disso, ocorreram ataques maiores aos protocolos blockchain. Esses foram efetuados por hackers desconhecidos que se comprometeram a restituir grande parte dos fundos roubados se as investigações sobre seus crimes anteriores fossem suspensas ([1], [2]). Outros foram realizados por grupos de ataques persistentes avançados (APT), como o Lazarus, envolvido no ataque ao Atomic Wallet e no roubo de US$ 35 milhões das carteiras de moedas digitais.

Crescimento contínuo das atividades com ransomware

No segundo trimestre, houve um crescimento de 13% nos ataques de ransomware.

Apesar dos conflitos internos entre os hackers e da perseguição por parte de órgãos de segurança, o cenário permanece complicado nos ambientes de pesquisa, academia, setor público e saúde. O grupo de ransomware LockBit impediu um de seus parceiros de atacar o Keystone SMILES Community Learning Center, uma organização não-governamental focada na educação infantil. Por sua vez, o grupo Cl0p anunciou que tinha apagado todos os dados roubados dos instituições federais nos Estados Unidos após o governo oferecer uma recompensa por entregar qualquer informação sobre o grupo.

No segundo trimestre , constatamos um crescimento de 5 p.p. na presença de empresas de TI no conjunto total de vítimas de sequestro de dados, atingindo 11% em comparação ao primeiro trimestre. O que impulsionou essa tendência foram as vantagens percebidas pelos cibercriminosos: ao comprometerem empresas de TI, eles conseguem acessar as informações sigilosas tanto das empresas quanto de seus clientes e até mesmo facilitar ataques subsequentes, seja na cadeia dos fornecimento ou através de relações de confiança.

Novos nomes estão surgindo entre os grupos ativos de ransomware: 8Base, por exemplo, é uma equipe já consolidada que tem feito ataques no mundo inteiro. Depois de uma fase de inatividade e pouca visibilidade, a o grupo inaugurou um novo site de vazamento de dados e subiu para a segunda posição no ranking de junho em relação ao número de vítimas , logo após do LockBit. Identificado pela primeira vez em março de 2023, a equipe de ransomware Akira aprimorou as estratégias no segundo trimestre , ficando entre os  10 maiores grupos ativos. Mas já, no final de junho, a Avast disponibilizou uma ferramenta de decriptação gratuita para sistemas Windows. Então, o grupo Akira direcionou suas ações aos sistemas Linux, que não possuíam suporte para decriptação.

Ataques únicas também aconteceram no segundo trimestre. Identificado em 23 de abril, o MalasLocker tinha como seu alvo os servidores Zimbra, agiu por meio da exploração da vulnerabilidade CVE-2022-24682 para criptografar os sistemas mas. O grupo exigiu que as vítimas realizassem uma contribuição filantrópica, em vez de cobrar um valor de resgate. No segundo trimestre, o MalasLocker tornou-se o segundo maior grupo em termos de quantidade de vítimas. A maioria das empresas atacadas tinham sua base na Itália, nos Estados Unidos e na Rússia.

Chantagem sem criptografia

O método de chantagem virtual evoluiu: agora, além de criptografar as informações, os criminosos ameaçam publicá-las (um método também chamado de chantagem dupla).

Em resposta, as empresas estão intensificando as medidas de segurança cibernética, adotando protocolos de resposta a ataques virtuais, ferramentas de resposta e monitoramento de pontos de acesso e sistemas de backup. Em muitos casos, o ransomware não causa o impacto esperado, e faz com que o criminoso tenha que se esforçar muito para burlar os sistemas de proteção e implantar o software malicioso. Esse cenário incentivou os criminosos cibernéticos a descartar a etapa de criptografia de dados, optando por utilizar as informações confidenciais roubadas como o principal meio de coação, segundo o relatado da Barracuda. Os ataques realizados pelo grupo Cl0p, que não recorria à dupla chantagem, sugerem que esse método permanece uma abordagem eficiente e atual. Os grupos Karakurt e RansomHouse inicialmente focados apenas em roubar dados para extorquir dinheiro, continuaram suas campanhas no segundo trimestre de 2023.

Outra razão que pode levar as organizações criminosas a desistirem do uso de criptografia e optarem por táticas de exposição dos dados roubados é a disseminação de soluções de descriptografia fornecidas por profissionais em segurança. Por exemplo, a White Phoenix ajuda a recuperar arquivos criptografados através do método de criptografia intermitente bem conhecido. O grupo BianLian continuou sua campanha de chantagem, mas desistiu da criptografia dos sistemas das vítimas porque um decodificador foi publicado.

Ascensão dos spywares

No segundo trimestre , observou-se uma queda de 8 p. p em ataques de malware voltados para as empresas em relação ao trimestre anterior. em comparação com o trimestre anterior. Essa redução deve-se ao aumento em ataques que exploram vulnerabilidades, que atingiram 35%. O uso de malware em ataques contra usuários cresceu 5 p. p.

De acordo com ANY.RUN, o RedLine infostealer tornou-se a principal família de malware, com o aumento de popularidade no segundo trimestre. Conforme pesquisa realizada pela Check Point, o SpinOk encabeça a lista dos malwares mais usados para o Android, que também é um tipo de spyware . A tendência de utilizar esse tipo de malware em ataques contra empresas (21%) e usuários (62%) manteve-se.

No segundo trimestre, a equipe do PT Expert Security Center conseguiu descobrir um novo stealer de informações escrito em Go que busca arquivos (por nome de extensão) em diretórios pessoais e em unidades locais, enviando esses arquivos para o servidor C&C , junto a capturas de tela e conteúdo da área de transferência. O stealer foi distribuído através de mensagens de e-mail de phishing que continham um link para um instalador NSIS. No cenário de ataques corporativos, em 57% deles o e-mail de phishing apresenta-se principal distribuidor de malware. Quando executado, o instalador abre um arquivo PDF e tenta descarregar um conteúdo ao dispositivo do usuário simultaneamente.

No contexto de ataques a usuários, a principal fonte de apresentam os sites disseminação de malware, correspondendo a 40% de todas as ocorrências. A tendência de usar envenenamento de SEO, que descrevemos anteriormente, permaneceu ativa no segundo trimestre. Táticas de envenenamento de SEO e malvertising foram empregadas conjuntamente em páginas web ([1], [2], [3]) para propagar malware.

Tendências de vulnerabilidades

A quantidade de novas vulnerabilidades detectadas a cada trimestre aumenta houve um acréscimo de 7% no segundo trimestre em relação ao primeiro. Conforme os dados liberados pelo NIST dos Estados Unidos, mais de 7,5 mil novas vulnerabilidades foram identificadas. Cibercriminosos continuam a explorar as vulnerabilidades antigas, já que alguns sistemas ainda executam sistemas operacionais e softwares desatualizados. Segue abaixo a lista de vulnerabilidades que foram ativamente exploradas no segundo trimestre:

• CVE-2023-34362. Uma vulnerabilidade da dia zero amplamente explorada no MOVEit MFT que permite que invasores obtenham acesso a arquivos e ampliem permissões no servidor ao injetar código SQL malicioso nas solicitações ao servidor.
• CVE-2023-27350 e CVE-2023-27351. Vulnerabilidades graves foram detectadas nos programas para administração de impressoras PaperCut MF e NG. O grupo Lace Tempest conseguiu comprometer servidores vulneráveis, obter acesso remoto, instalar ransomware e roubar informações confidenciais.
• CVE-2023-2868. Uma vulnerabilidade de dia zero foi identificada no Barracuda Email Security Gateway, associada à validação incompleta de dados recebidos no módulo de verificação de anexos de e-mail. Essa brecha possibilita que os comandos remotos sejam introduzidos através de arquivos TAR maliciosos. O grupo APT, conhecido como UNC4841, tirou proveito da vulnerabilidade para realizar uma campanha de ciberespionagem, enviando anexos maliciosos em massa. A liberação de um patch de segurança para os dispositivos afetados pela Barracuda foi considerada insuficiente: a empresa insiste que os aparelhos comprometidos sejam substituídos.
• CVE-2018-9995 e CVE-2016-20016. Em abril de 2023, pesquisadores da FortiGuard registraram um aumento significativo nos ataques que exploravam a vulnerabilidade CVE-2018-9995 em dispositivos DVR da TBK (com mais de 50 mil tentativas únicas) e a vulnerabilidade CVE-2016-20016 em gravadores de vídeo digital MVPower. A exploração da CVE-2018-9995 viabiliza aos criminosos burlar a autenticação no dispositivo e acessar a rede exposta, ao passo que o aproveitamento da CVE-2016-20016 permite a execução de comandos não-autenticados com ajuda de solicitações HTTP maliciosas. Picos como este indicam que dispositivos antigos com vulnerabilidades estão suscetíveis a ataques anos após a descoberta da vulnerabilidade.

Como medida preventiva contra ataques cibernéticos, sugerimos que você siga as nossas orientações gerais de cibersegurança, tanto no âmbito pessoal quanto no profissional. Levando em consideração os tipos de incidentes que registramos no segundo trimestre de 2023, recomendamos fortemente tratar e-mails, mensagens instantâneas e mensagens recebidas em redes sociais com cautela: verifique o remetente e evite sofrer de um links suspeitos para não cair em ataque de engenharia social ou ter seu dispositivo comprometido por malwares. Seja prudente e avalie bem suas decisões, especialmente diante de ofertas tentadoras. Baixe aplicativos apenas de fontes confiáveis, utilize serviços de backup de arquivos e instale patches de segurança assim que estiverem disponíveis. Além disso, recomendamos investigar a fundo cada incidente relevante para identificar pontos de comprometimento e vulnerabilidades exploradas pelos invasores, certificando-se de que não tenham deixado portas abertas para futuras ações criminosas. Você pode reforçar a segurança ao utilizar ferramentas de segurança modernas, como firewalls de aplicativos web (WAF). Para prevenir a infecção por malware, recomendamos o uso de sandboxes para analisar o comportamento de arquivos em um ambiente virtual e detectar qualquer atividade maliciosa.

As consequências dos ataques no segundo trimestre foram diversas, as consequências afetaram tanto empresas pequenas quanto grandes, bem como cidades e regiões. Os desfechos mais comuns de ataques cibernéticos incluíram a captura de informações confidenciais pelos criminosos e a paralisação das atividades empresariais. Um ataque de ransomware  à megalópole de Dallas nos Estados Unidos é um exemplo de um ciberataque que pode afetar cidade inteira. O ataque interrompeu os serviços da cidade: a polícia tinha que despachar equipes manualmente para os chamados de emergência, algualgumas audiências no tribunal foram adiadas e as empresas de serviços de utilidade públicos não conseguiam processar pagamentos online.

Cinco ataques principais registrados no segundo trimestre e que causaram repercussões negativas em grande escala

• O ciberataque à Bitmarck, um importante provedor de internet alemão, levou a empresa a desativar todos os seus sistemas, tanto internos quanto voltados para o cliente. A paralisação impactou as entidades de seguro de saúde que dependiam dos serviços de tecnologia oferecidos pela Bitmarck . Dentre as afetados, destacam-se a disponibilidade de registros médicos, a gestão de licenças médicas eletrônicas, o tratamento centralizado de informações corporativas, a submissão de relatórios estatísticos e a comunicação digital.
• Hospitais localizados em Idaho Falls e Mountain View, junto com clínicas associadas, sofreram ataques de ransomware que resultaram no suspensão de expediente de algumas dessas instituições . Os hospitais localizados nas regiões vizinhas receberam diversas ambulâncias redirecionadas de Idaho Falls . O processo de recuperação total do ataque que o sistema sofreu demorou mais de um mês para ser concluído.
• Falhas em sites como Outlook, OneDrive e Azure foram provocadas por ataques DDoS de grande escala direcionados aos programas da Microsoft. Usuários afetados pelas interrupções ficaram impossibilitados de acessar e-mails ou usar serviços de armazenamento em nuvem. No momento de maior intensidade do ataque, até  18 mil usuários ficaram sem acesso ao Outlook. O grupo de ativistas hacker Anonymous Sudan conduziu alguns ataques isolados ao longo de três dias consecutivos .
• O grupo LockBit exigiu que a TSMC, a empresa mais valiosa da Ásia e uma das maiores fabricantes mundiais de semicondutores, pagasse um resgate de US$ 70 milhões para evitar a divulgação de seus dados. A origem do vazamento foi um servidor que não estava adequadamente configurado e que pertencia à Kinmax Technologies, uma empresa de equipamentos de tecnologia da informação.
• A empresa russa Infotel, que faz a integração entre bancos e empresas com o sistema de comunicações digitais automatizadas do Banco da Rússia, sofreu um ataque cibernético do grupo de ativistas hacker Cyber.Anarchy.Squad. Várias instituições bancárias de grande porte ficaram isoladas dos sistemas financeiros nacionais em consequência do ataque. Foram necessárias 32 horas para que o serviço fosse totalmente reestabelecido pela operadora de telecomunicações.

A maioria dos ataques que levaram ao vazamento de informações sigilosas focava em obter dados pessoais (53%) e segredos industriais de organizações (18%). O intuito dos ataques direcionados a usuários era roubar credenciais (43% dos casos).

Os vazamentos mais notórios do segundo trimestre

• Entre as entidades mais afetadas pelo ataque Cl0p ao MOVEit Transfer, estão o Departamento de Veículos Motorizados da Louisiana (OMV) e o Órgão de Transporte do Estado do Oregon (ODOT). O vazamento impactou 3,5 milhões de portadores de carteiras de identidades e de motorista no estado de Oregon e 6 milhões na Louisiana.
• Usuários afetados pela Harvard Pilgrim Health Care iniciaram quatro processos de ação coletiva, acusando a empresa de não proteger adequadamente os registros pessoais e as informações de saúde. No mês de abril, a empresa sofreu um ataque cibernético por malware, que culminou na exposição de informações de 2,5 milhões de pessoas.
• As informações que pertencem pertencentes aos clientes de 12 empresas russas foram divulgadas na internet durante três dias: nomes completos, números de telefone, endereços de e-mail e, em alguns casos, até hashes de senhas. Na lista das empresas afetadas estão as redes varejistas Auchan, Tvoy Dom e Leroy Merlin, Gloria Jeans, book24.ru, Askona, Bukvoed, Tvoe, as plataformas online Chitai-Gorod, o site de receitas edimdoma.ru, as editoras AST e Eksmo, e o resort Roza Khutor. Os vazamentos foram confirmados pelas empresas Auchan, Gloria Jeans, book24.ru, Askona e pelo grupo Eksmo-AST.
• O grupo de ransomware The Money Message divulgou as chaves privadas do Intel Boot Guard e chaves de firmware que foram roubadas da MSI, uma empresa de hardware, depois que um acordo envolvendo um resgate de US$ 4 milhões falhou na negociação. De acordo com os chantagistas, cerca de 1,5 terabytes de informações da MSI foram roubados. O vazamento impactou todo o ecossistema da Intel e representou uma ameaça direta aos clientes da MSI. Um criminoso cibernético poderia ter usado essas chaves para criar e disseminar as atualizações de firmware infectadas, fingindo ser as ferramentas de atualização da MSI e da BIOS.
• Durante um ataque de ransomware, as informações relacionadas ao tratamento médico e aos diagnósticos laboratoriais de 2,5 milhões de pacientes da Enzo Biochem foram violadas. Alguns dos registros foram completamente apagados do sistema da empresa. A Enzo Biochem continuou oferecendo seus serviços mesmo com uma disrupção em seus processos corporativos internos, enquanto se esforçava para minimizar as consequências do ataque. Tanto a Enzo Biochem quanto a sua afiliada, Enzo Clinical Labs, sofreram quatro processos coletivos que as responsabilizam por falhar em assegurar a proteção eficaz dos dados de clientes que mantinham em seus sistemas.

78% de os ataques foram direcionados.

15% dos ataques tinham como objetivo usuários.

A informação sobre as ameaças globais à segurança da informação apresentada nesse relatório é baseada na experiência, investigações e fontes confiáveis da Positive Technologies.

Estimamos que a grande maioria dos ataques cibernéticos não é divulgada devido a riscos à reputação. Por esse motivo, mesmo empresas especializadas em investigação de incidentes e análise de atividades de hackers não conseguem calcular o número exato de ameaças. A nossa pesquisa tem como objetivo chamar a atenção de empresas e do público em geral para a importância da segurança da informação, as razões e estratégias centrais de ataques cibernéticos, além de destacar as principais tendências na evolução do cenário de ameaças cibernéticas.

Este relatório trata cada ataque em massa (por exemplo, e-mails de phishing enviados para vários endereços) como um único incidente. Para saber mais informações sobre os termos utilizados neste relatório, você pode consultar o glossário da Positive Technologies.