Por Bruno Odon: Na maioria das vezes, o principal vetor de propagação de uma ameaça cibernética é o próprio computador do usuário. Seja por ação dele próprio, como ao acessar um link falso, ou por configurações que não dependem dele, como o uso de um software com versão obsoleta.
Prova disso, são os números de incidentes que exploraram brechas no Brasil no mês de julho. Por isso, é necessária uma interação muito maior entre os times de segurança para que medidas de proteção sejam tomadas com frequência.
Muitas vezes, antes que aconteça um ataque cibernético ou qualquer outro tipo de incidente de segurança em uma organização, já existe uma ameaça descoberta para aquele tipo de evento, cabendo às equipes de segurança tomarem todas as medidas possíveis para que o risco seja eliminado ou mitigado.
As principais ameaças do último mês foram:
| Trojan.WinLNK.Agent.gen | O malware dessa família contém links para baixar arquivos maliciosos ou o caminho para iniciar um arquivo executável mal-intencionado diferente, projetado para destruir, bloquear, modificar ou copiar dados, além de interferir na operação de computadores ou redes de computadores. O Brasil está em 6º lugar no ranking de infecções pelo mundo. |
| Worm.Python.Agent.gen | Essa família é composta por softwares escritos em Python e com características típicas de worms. |
| Trojan.Win32.Agentb.bqyr | Programas maliciosos dessa família são usados para destruir, bloquear, modificar ou copiar dados ou para interromper o desempenho de computadores ou redes. |
| Trojan.Win32.AutoRun.gen | Esse malware consiste em um arquivo .inf, que é usado para iniciar ou instalar aplicativos maliciosos automaticamente. |
| Virus.Win32.Pioneer.cz | Esse vírus se espalha adicionando código malicioso a outros arquivos executáveis. Ele procura arquivos .exe e .dll localizados fora da pasta do Windows e adiciona código malicioso a eles. Esse código é executado antes do código desses arquivos. Os arquivos infectados podem baixar e instalar outros softwares maliciosos. |
| Trojan.WinLNK.Runner.jo | Arquivos LNK maliciosos desta família lançam um executável malicioso. Esses arquivos são usados por worms para se espalharem por meio de drives USB. |
Vulnerabilidades
Todos os dias, fabricantes corrigem vulnerabilidades detectadas em seus produtos a fim de evitar que possíveis atacantes tirem proveito dessas falhas. Normalmente, hackers escrevem códigos e malwares capazes de explorá-las em aplicativos ou sistemas operacionais, sendo esses códigos denominados Exploits. Durante uma exploração, um invasor pode obter acesso não autorizado ou uso do aplicativo e/ou sistema operacional. No gráfico abaixo, temos um número médio de notificações de explorações ocorridas entre os dias 03/07/2022 e 03/08/2022 no Brasil:
Os dias de maior pico foram:
- 04/07/2022 – 7180 notificações
- 06/07/2022 – 6711 notificações
- 11/07/2022 – 6665 notificações
O que chama muito a atenção é que uma vulnerabilidade tão antiga seja a mais explorada no Brasil. A CVE-2011-3402 foi descoberta em 11/04/2011 e pode ser explorada em sistemas legados da Microsoft, que já não têm suporte há bastante tempo, como Windows XP, Windows Server 2003 e Windows Vista. Essa vulnerabilidade permite a um atacante executar um código arbitrário através de dados de fonte de um documento do Word.
Uma boa estratégia de gestão de vulnerabilidades também passa por estar, na medida do possível, com os ativos atualizado com as últimas versões, evitando a exploração de brechas que já foram resolvidas com patches já lançados pelos fabricantes.
Segue abaixo o boletim da Microsoft com as atualizações necessárias para esta correção: Microsoft Security Bulletin MS11-087 – Critical | Microsoft Docs
Ransomware
O sequestro de dados traz um imenso transtorno para as companhias, principalmente para os CSIRTs, que lidam diretamente com o tratamento dos incidentes de segurança. Em muitos casos, as equipes precisam até fazer contato com os criminosos, que pedem o resgate atrás de evidências que possam ajudar na identificação deles.
Pelo segundo mês seguido, a ameaça de destaque foi o Trojan-Ransom.WIN32.Phny.a, com 56,54% de uso em ataques ocorridos no Brasil. Este ransomware faz parte da família do WannaCry, ativo desde 2017.
Vale lembrar que, de 2017 até hoje, Wannacry causou estragos a mais de 200.000 sistemas, sendo responsável por um dos maiores ataques via ransomware de todos os tempos.
Este ataque ainda está em curso e, como visto no gráfico acima, muitos sistemas brasileiros foram atingidos nos últimos meses. Este fato deve servir de alerta para que as vacinas e os patches de correção estejam sempre em dia.
Endereços IP ofensores
Um dos principais rastros que um criminoso digital deixa pelo caminho é o endereço IP ofensor e essa informação é certamente de grande valor para a investigação de uma ameaça ou ataque cibernético, uma vez que pode ser enriquecida com dados de geolocalização, tipo de uso daquele IP e o domínio ao qual faz parte.
A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores.
TOP 10 – Domínios de origem
TOP 10 – Países de origem
TOP 10 – Rede Tor
A rede Tor ainda é largamente utilizada por criminosos digitais para tentar realizar ataques da forma mais anônima possível. Segue, abaixo, os 10 endereços IP desta plataforma com maiores atividades maliciosas reportadas no mês de julho de 2022:
| Blocklisted IP | Usage Type | Distinct Reports |
| 37.123.163.58 | Fixed Line ISP | 4,615 |
| 81.17.18.62 | Data Center/Web Hosting/Transit | 4,523 |
| 199.249.230.87 | Data Center/Web Hosting/Transit | 4,462 |
| 81.17.18.58 | Data Center/Web Hosting/Transit | 4,406 |
| 185.100.86.74 | Data Center/Web Hosting/Transit | 4,251 |
| 185.220.102.240 | Data Center/Web Hosting/Transit | 4,041 |
| 185.220.102.250 | Data Center/Web Hosting/Transit | 3,995 |
| 185.220.102.243 | Data Center/Web Hosting/Transit | 3,937 |
| 185.220.102.241 | Data Center/Web Hosting/Transit | 3,873 |
| 62.102.148.68 | Data Center/Web Hosting/Transit | 3,855 |
Endereços IP maliciosos brasileiros
Os endereços IP brasileiros com maiores reports de atividades maliciosas em julho de 2022, segundo nossa plataforma de Threat Intelligence, foram:
| Blocklisted IP | Usage Type | Distinct Reports |
| 138.94.75.17 | Data Center/Web Hosting/Transit | 6,647 |
| 177.44.208.107 | Fixed Line ISP | 2,506 |
| 177.200.212.34 | Commercial | 1,325 |
| 177.43.247.17 | Mobile ISP | 1,299 |
| 201.13.136.60 | Mobile ISP | 713 |
| 189.69.204.197 | Mobile ISP | 481 |
| 187.2.120.21 | Mobile ISP | 329 |
| 187.57.13.65 | Mobile ISP | 241 |
| 189.46.131.40 | Mobile ISP | 195 |
Os mais devastadores ataques cibernéticos exploram fraquezas antigas, para as quais já existem vacinas, patches ou medidas de contenção recomendadas pelos fabricantes.
Como visto no corpo deste relatório, os números de incidentes que exploraram essas brechas antigas no Brasil são alarmantes e é necessária uma interação muito maior entre os times para que essas medidas de proteção sejam tomadas com frequência.
O uso de sistemas legados deve ser evitado ao máximo e, caso seja imprescindível, ele deve ser feito dentro de ambientes muito controlados.
Recomendações:
- Esteja sempre em dia com as vacinas e os patches de segurança indicados pelos fabricantes dos softwares em uso por toda a corporação.
- Mantenha uma boa estratégia de backup off-line (incremental, full, diferencial), bem como também uma boa estratégia de restauração, para afetar o mínimo possível a disponibilidade do ambiente em caso de ataques.
- Gerencie as versões de sistemas operacionais e aplicações da forma mais centralizada possível. O uso de orquestradores como WSUS, Satellite, Ansible e Puppet é muito recomendado para manter o parque sempre atualizado com as últimas versões estáveis.
- Tente ao máximo automatizar defesas! Um indicador de comprometimento (IoC) pode ser modificado diversas vezes durante um ataque, e ter acesso a listas dinâmicas desses indicadores pode muitas vezes salvar a companhia de um ataque cibernético de grandes proporções. Recomendamos o uso do MISP como plataforma compartilhamento de ameaças e consumo desses feeds. A ISH disponibiliza diariamente essas listas para os clientes que assim desejarem via integração com o seu MISP.
Referências:
- Heimdall Global Threat Intelligence by ISH
- Karspersky
- Cyware
- CISA
- Mitre
- Cert.br