Por ISH e SafeLabs: Um grupo de cyber ativistas denominado ‘IRoX Team‘ anunciou uma guerra cibernética contra Israel e os seus apoiadores, divulgando datas para seus ataques cibernéticos. Segundo a publicação em um grupo público de mensageria, o grupo apoia muçulmanos palestinos e afirma que o motivo desse ataque seria perturbar a presença online e as
atividades de países e organizações teoricamente associadas a Israel.
O grupo direcionou uma das ameaças de ataque cibernético ao Brasil, que poderá ocorrer no dia 20 de outubro de 2023.
Ameaça de ataques a países
O grupo IRoX Team divulgou em seu canal no Telegram que realizará ataques em determinados países em datas especificas. Os atores expressam que sua inspiração vem do apoio aos palestinos muçulmanos e da resistência a Israel, declarando seu propósito de se engajar em uma batalha digital contra Israel e seus aliados. O objetivo, conforme destacado na comunicação do grupo, é “aniquilar por completo o ambiente virtual daqueles que respaldam os judeus israelenses“.
Realizada a tradução da mensagem obtemos os seguintes resultados:
Histórico e detalhes do grupo
O grupo autodenominado “IRoX Team” teria criado seu canal no telegram em 22 de setembro de 2023, havendo dentre as suas primeiras publicações a informação que dados de professores indicados foram vazados por “IRσX ƇσммυηιтƳ”. Ele teria iniciado seus ataques cibernéticos contra organizações indianas, bem como em 14 de outubro, o grupo teria se manifestado publicamente declarando apoio aos mulçumanos palestinos, declarando publicamente uma guerra cibernética contra Israel e contra aqueles que apoiam publicamente o país.
Já no dia 19 de outubro, o referido grupo teria publicado um “aviso de ataque cibernético”, na qual afirmou que no dia 20 de outubro de 2023 iria realizar ataques a determinados países, incluindo o Brasil, conforme já declaro na informação anterior, salientando que o referido grupo possui como foco principal, antes que fosse anunciado o Brasil, organizações situadas na Índia.
Informações coletadas sobre o IRoX Team
Até o momento, não havia informações de indicadores públicos acerca do referido ator de ameaça ou o grupo denominado IRoX Team, porém foram possíveis coletar informações acerca dos possíveis líderes ou agentes que atuam em conjunto no grupo.
Dentre as mensagens identificadas de participantes do grupo querendo se juntar para atuar em conjunto do IRoX Team, foi possível obter a resposta de um dos possíveis líderes do grupo.
Tradução:
XXXXXX, [19/10/2023 09:15]
Procurando se juntar a uma equipe
XXXXXX, [19/10/2023 09:16]
Existe um fórum para participar?
Tradução:
XXXX,
Desculpe, senhor, temos membros suficientes, se forem necessários mais membros, as atualizações serão dadas, obrigado por ficar conosco.
Além da mensagem enviada do possível líder, foram identificados outros 4 administradores do referido grupo.
Após a identificação dos referidos administradores, foi realizado uma pesquisa acerca destes, visando entender possíveis localidades, informações sobre TTPs e outros fatos relevantes, sendo coletados e analisados separadamente nos tópicos abaixo.
Vítimas identificadas
IRoX Team publicou em 20 de outubro alguns dos sites que foram alvos de ataques cibernéticos do tipo defacements.
Ao realizar o acesso aos sites, é possível verificar a alteração em seu conteúdo:
O IRoX Team possui comportamento idêntico a outros tipos de grupos que manifestaram apoio a Palestina, apresentando ataques a organizações baseadas na Índia, bem como realizando a exfiltração de dados e informações de pessoas, bem como apresentado ainda a identificação de ataques DDoS por membros administradores do grupo.
Além das informações apresentadas, foi identificado que IRoX possui vínculo com as equipes:
- Team Dishari (Bangladesh)
- Death Cyber Army
- Team BADS – Security Researches
- DDoS Project (Rússia)
O projeto DDoS (Project DDoS) já teria sido identificado como em uso por outros grupos no Telegram, como o Team R70, cujo projeto de DDoS pertence ao grupo de ameaças Noname05716, o qual possui a capacidade de lançamento de ataques DDoS causando perturbações a organizações, já que atua como uma cédula de grupo hacktivista pró-Rússia, lançando ataques contra países aliados a OTAN.
Foi realizada a coleta que em 18 de setembro, por meio de uma publicação junto ao Facebook, o grupo se manifestou contra “Hackers Indianos” afirmando que caso estes realizarem ataques em 19 de setembro na superfície cibernética de Bangladesh, iriam lançar contra-ataques.
Vale salientar que Bangladesh é um país, e possui como religião adotada o Islamismo, composto pela grande maioria de habitantes mulçumanos.
Portanto podemos concluir que, as empresas brasileiras (privadas e do setor público) estão propensas a possíveis ataques de DDoS (negação de serviço distribuída), invasões a servidores web, exfiltração de dados, defacements a sites, entre outros, e no momento não há indicadores de compromisso coletados do grupo, sendo apresentado diretamente a seção do MITRE ATT&CK as possíveis TTPs utilizadas pelo grupo.
MITRE ATT&CK
De acordo com as informações coletadas, apresentamos as TTPs acerca do ator de ameaça descrito no referido relatório:
Tática | Técnica | Detalhes |
Exfiltração TA0010 | Exfiltração TA0010 | O grupo poderá adotar técnicas de exfiltraçãod e dados par aroubar dados da rede de sua organização. |
Impacto TA0040 | Defacement T1491 | O grupo poderá modificar o conteúdo visual disponível interna ou externamente a uma rede empresarial, afetando assim a integridade do conteúdo original. |
Impacto TA0040 | Negação de serviço de rede T1498 | O grupo poderá realizar ataques de negação de serviço (DoS) na rede para degrafar ou bloquear uma disponibilidade de recursos direcionados aos usuários. |
Impacto TA0040 | Negação de serviço de rede: Inundação direta de rede. T1498.001 | O grupo poderá tentar causar uma negação de serviço (DoS) enviando diretamente um grande volume de tráfego de rede para um alvo. |
Impacto TA0040 | Negação de serviço de rede: Amplificação de Reflexão. T1498.002 | O grupo pode tentar cusar uma negação de serviço (DoS), refletindo um alto volume de tráfego de rede para um alvo. |
Como se proteger?
Confira abaixo algumas recomendações de segurança para ataques DDoS, defacement e invasão a servidores web:
Ataques de DDoS
- Firewalls e Sistemas de Detecção/Prevenção de Intrusão (IDS/IPS): Utilize firewalls e sistemas de IDS/IPS para monitorar e filtrar o tráfego de rede, bloqueando padrões suspeitos e tráfego malicioso.
- Balanceamento de Carga: Distribua o tráfego entre vários servidores ou data centers para evitar a sobrecarga de um único ponto de entrada.
- Serviços de Proteção DDoS: Considere usar serviços de proteção contra DDoS fornecidos por provedores de serviços especializados.
- Filtragem de Tráfego: Implemente listas de permissões (whitelists) para permitir apenas tráfego de IP confiáveis. Considere também o uso de listas de bloqueio (blacklists) para endereços IP conhecidos por serem maliciosos.
- Monitoramento de Tráfego Anormal: Utilize ferramentas de monitoramento de tráfego para identificar padrões incomuns que possam indicar um ataque DDoS em curso.
- Defesa em Profundidade: Implemente várias camadas de defesa, incluindo firewalls, IDS/IPS, serviços de proteção DDoS e políticas de segurança robustas.
- Testes de Vulnerabilidade: Realize testes regulares de vulnerabilidade para identificar possíveis pontos fracos na sua infraestrutura.
- Plano de Resposta a Incidentes: Tenha um plano de resposta a incidentes que inclua procedimentos específicos para lidar com ataques DDoS, incluindo a comunicação com a equipe de segurança, provedores de serviços e autoridades, se necessário.
- Treinamento e Conscientização: Eduque sua equipe sobre boas práticas de segurança cibernética, incluindo reconhecimento e resposta a ataques DDoS.
- Backup e Recuperação: Mantenha cópias de backup dos dados críticos e tenha planos de recuperação em caso de um ataque bem-sucedido.
- Monitoramento Externo: Utilize serviços de monitoramento externo para avaliar a disponibilidade e o desempenho de seus sistemas de forma contínua.
- Atualizações e Patches: Mantenha seu software e sistemas operacionais atualizados com os últimos patches de segurança.
Ataques de Defacement e proteção de servidores Web
- Mantenha Software Atualizado: Certifique-se de que todos os softwares, incluindo o sistema operacional, servidores web, CMS (sistemas de gerenciamento de conteúdo) e plugins, estejam sempre atualizados com as últimas correções de segurança.
- Faça Backup Regularmente: Mantenha cópias de backup atualizadas do seu site e banco de dados.
- Utilize Senhas Fortes: Use senhas complexas e exclusivas para todas as contas associadas ao seu site, incluindo painéis de administração, FTP e banco de dados.
- Controle de Acesso: Limite o acesso ao painel de administração do seu site apenas para usuários autorizados.
- Monitoramento de Alterações: Configure alertas para notificá-lo imediatamente quando alterações inesperadas ocorrerem no seu site. Isso pode ser feito por meio de ferramentas de monitoramento de integridade de arquivos.
- Restrinja Permissões de Arquivo: Atribua permissões apropriadas aos arquivos e diretórios no servidor. Evite dar permissões de escrita a arquivos que não precisam ser alterados regularmente.
- Use Certificados SSL/TLS: Certifique-se de que seu site utiliza HTTPS para criptografar a comunicação entre o servidor e os visitantes. Isso ajuda a proteger contra ataques de interceptação de dados.
- Firewall de Aplicação Web (WAF): Implemente um WAF para filtrar e monitorar o tráfego HTTP/HTTPS, protegendo contra ataques comuns, como injeção de SQL e cross-site scripting (XSS).
- Restrição de Upload de Arquivos: Se permitido, restrinja os tipos de arquivos que os usuários podem fazer upload para o seu site.
- Desabilitar Serviços Desnecessários: Desabilite qualquer serviço ou funcionalidade que não seja necessário para o funcionamento do site.
- Monitoramento Externo: Utilize serviços de monitoramento externo para verificar a disponibilidade do seu site e detectar qualquer alteração no conteúdo.
- Treinamento e Educação: Mantenha a equipe e os colaboradores informados sobre as melhores práticas de segurança e como reconhecer atividades suspeitas.
Referências
- Heimdall by ISH Tecnologia
- SafeLabs