Conheça as ameaças cibernéticas em alta que afetaram o Brasil no último mês e saiba como se proteger

Por Bruno Odon: Na maioria das vezes, o principal vetor de propagação de uma ameaça cibernética é o próprio computador do usuário. Seja por ação dele próprio, como ao acessar um link falso, ou por configurações que não dependem dele, como o uso de um software com versão obsoleta.

Prova disso, são os números de incidentes que exploraram brechas no Brasil no mês de julho. Por isso, é necessária uma interação muito maior entre os times de segurança para que medidas de proteção sejam tomadas com frequência.

Figura 1 – Mapa cibernético de ameaças do último mês.

Muitas vezes, antes que aconteça um ataque cibernético ou qualquer outro tipo de incidente de segurança em uma organização, já existe uma ameaça descoberta para aquele tipo de evento, cabendo às equipes de segurança tomarem todas as medidas possíveis para que o risco seja eliminado ou mitigado.

As principais ameaças do último mês foram:

Trojan.WinLNK.Agent.genO malware dessa família contém links para baixar arquivos maliciosos ou o caminho para iniciar um arquivo executável mal-intencionado diferente, projetado para destruir, bloquear, modificar ou copiar dados, além de interferir na operação de computadores ou redes de computadores. O Brasil está em 6º lugar no ranking de infecções pelo mundo.
Worm.Python.Agent.genEssa família é composta por softwares escritos em Python e com características típicas de worms.
Trojan.Win32.Agentb.bqyrProgramas maliciosos dessa família são usados para destruir, bloquear, modificar ou copiar dados ou para interromper o desempenho de computadores ou redes.
Trojan.Win32.AutoRun.genEsse malware consiste em um arquivo .inf, que é usado para iniciar ou instalar aplicativos maliciosos automaticamente.
Virus.Win32.Pioneer.czEsse vírus se espalha adicionando código malicioso a outros arquivos executáveis. Ele procura arquivos .exe e .dll localizados fora da pasta do Windows e adiciona código malicioso a eles. Esse código é executado antes do código desses arquivos. Os arquivos infectados podem baixar e instalar outros softwares maliciosos.
Trojan.WinLNK.Runner.joArquivos LNK maliciosos desta família lançam um executável malicioso. Esses arquivos são usados ​​por worms para se espalharem por meio de drives USB.

Vulnerabilidades

Todos os dias, fabricantes corrigem vulnerabilidades detectadas em seus produtos a fim de evitar que possíveis atacantes tirem proveito dessas falhas. Normalmente, hackers escrevem códigos e malwares capazes de explorá-las em aplicativos ou sistemas operacionais, sendo esses códigos denominados Exploits. Durante uma exploração, um invasor pode obter acesso não autorizado ou uso do aplicativo e/ou sistema operacional. No gráfico abaixo, temos um número médio de notificações de explorações ocorridas entre os dias 03/07/2022 e 03/08/2022 no Brasil:

Figura 2 – Número médio de notificações de explorações entre 03/07/2022 e 03/08/2022 no Brasil.

Os dias de maior pico foram:

  • 04/07/2022 – 7180 notificações
  • 06/07/2022 – 6711 notificações
  • 11/07/2022 – 6665 notificações
Figura 3 – Explorações ocorridas dentro do período analisado.

O que chama muito a atenção é que uma vulnerabilidade tão antiga seja a mais explorada no Brasil. A CVE-2011-3402 foi descoberta em 11/04/2011 e pode ser explorada em sistemas legados da Microsoft, que já não têm suporte há bastante tempo, como Windows XP, Windows Server 2003 e Windows Vista. Essa vulnerabilidade permite a um atacante executar um código arbitrário através de dados de fonte de um documento do Word.

Uma boa estratégia de gestão de vulnerabilidades também passa por estar, na medida do possível, com os ativos atualizado com as últimas versões, evitando a exploração de brechas que já foram resolvidas com patches já lançados pelos fabricantes.  

Figura 4 – Análise detalhada da vulnerabilidade feita pelo NIST.

Segue abaixo o boletim da Microsoft com as atualizações necessárias para esta correção: Microsoft Security Bulletin MS11-087 – Critical | Microsoft Docs

Figura 5 – Atualizações necessárias da Microsoft.

Ransomware

O sequestro de dados traz um imenso transtorno para as companhias, principalmente para os CSIRTs, que lidam diretamente com o tratamento dos incidentes de segurança. Em muitos casos, as equipes precisam até fazer contato com os criminosos, que pedem o resgate atrás de evidências que possam ajudar na identificação deles.

Pelo segundo mês seguido, a ameaça de destaque foi o Trojan-Ransom.WIN32.Phny.a, com 56,54% de uso em ataques ocorridos no Brasil. Este ransomware faz parte da família do WannaCry, ativo desde 2017.

Figura 6 – Maiores ameaças de ataques.

Vale lembrar que, de 2017 até hoje, Wannacry causou estragos a mais de 200.000 sistemas, sendo responsável por um dos maiores ataques via ransomware de todos os tempos.

Este ataque ainda está em curso e, como visto no gráfico acima, muitos sistemas brasileiros foram atingidos nos últimos meses. Este fato deve servir de alerta para que as vacinas e os patches de correção estejam sempre em dia.

Figura 7 – Mapa de infecção pelo Wannacry, em 2017.

Endereços IP ofensores

Um dos principais rastros que um criminoso digital deixa pelo caminho é o endereço IP ofensor e essa informação é certamente de grande valor para a investigação de uma ameaça ou ataque cibernético, uma vez que pode ser enriquecida com dados de geolocalização, tipo de uso daquele IP e o domínio ao qual faz parte.

A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores.  

Figura 8 – Geolocalização de endereços IP maliciosos analisados pela ISH.
Figura 9 – Números do mês de julho.

TOP 10 – Domínios de origem

Figura 10 – Top 10 domínios de origem.

TOP 10 – Países de origem

Figura 11 – Top 10 países de origem.

TOP 10 – Rede Tor

A rede Tor ainda é largamente utilizada por criminosos digitais para tentar realizar ataques da forma mais anônima possível. Segue, abaixo, os 10 endereços IP desta plataforma com maiores atividades maliciosas reportadas no mês de julho de 2022:  

Blocklisted IPUsage Type           Distinct Reports
37.123.163.58Fixed Line ISP4,615
81.17.18.62Data Center/Web Hosting/Transit4,523
199.249.230.87Data Center/Web Hosting/Transit4,462
81.17.18.58Data Center/Web Hosting/Transit4,406
185.100.86.74Data Center/Web Hosting/Transit4,251
185.220.102.240Data Center/Web Hosting/Transit4,041
185.220.102.250Data Center/Web Hosting/Transit3,995
185.220.102.243Data Center/Web Hosting/Transit3,937
185.220.102.241Data Center/Web Hosting/Transit3,873
62.102.148.68Data Center/Web Hosting/Transit3,855

Endereços IP maliciosos brasileiros

Os endereços IP brasileiros com maiores reports de atividades maliciosas em julho de 2022, segundo nossa plataforma de Threat Intelligence, foram:

Blocklisted IPUsage Type        Distinct Reports
138.94.75.17Data Center/Web Hosting/Transit6,647
177.44.208.107Fixed Line ISP2,506
177.200.212.34Commercial1,325
177.43.247.17Mobile ISP1,299
201.13.136.60Mobile ISP713
189.69.204.197Mobile ISP481
187.2.120.21Mobile ISP329
187.57.13.65Mobile ISP241
189.46.131.40Mobile ISP195

Os mais devastadores ataques cibernéticos exploram fraquezas antigas, para as quais já existem vacinas, patches ou medidas de contenção recomendadas pelos fabricantes.

Como visto no corpo deste relatório, os números de incidentes que exploraram essas brechas antigas no Brasil são alarmantes e é necessária uma interação muito maior entre os times para que essas medidas de proteção sejam tomadas com frequência.

O uso de sistemas legados deve ser evitado ao máximo e, caso seja imprescindível, ele deve ser feito dentro de ambientes muito controlados.

Recomendações:

  • Esteja sempre em dia com as vacinas e os patches de segurança indicados pelos fabricantes dos softwares em uso por toda a corporação.

  • Mantenha uma boa estratégia de backup off-line (incremental, full, diferencial), bem como também uma boa estratégia de restauração, para afetar o mínimo possível a disponibilidade do ambiente em caso de ataques.

  • Gerencie as versões de sistemas operacionais e aplicações da forma mais centralizada possível. O uso de orquestradores como WSUS, Satellite, Ansible e Puppet  é muito recomendado para manter o parque sempre atualizado com as últimas versões estáveis.

  • Tente ao máximo automatizar defesas! Um indicador de comprometimento (IoC) pode ser modificado diversas vezes durante um ataque, e ter acesso a listas dinâmicas desses indicadores pode muitas vezes salvar a companhia de um ataque cibernético de grandes proporções. Recomendamos o uso do MISP como plataforma compartilhamento de ameaças e consumo desses feeds. A ISH disponibiliza diariamente essas listas para os clientes que assim desejarem via integração com o seu MISP.
Figura 12 – Lista diária de endereços IP maliciosos compartilhada pelo MISP ISH.

Referências:

  1. Heimdall Global Threat Intelligence by ISH
  2. Karspersky
  3. Cyware
  4. CISA
  5. Mitre
  6. Cert.br