Conheça as ameaças em alta que afetaram o Brasil no último mês

O Brasil é um dos países que mais sofre ataques cibernéticos no mundo – e este cenário foi agravado consideravelmente após a pandemia. Estar ciente das ameaças em alta no Brasil e no mundo torna-se cada vez mais importante e permite-nos estar um passo à frente de potenciais atacantes, além de agir com mais rapidez e eficiência, a fim de detectar tais ameaças e evitar possíveis impactos e danos decorrentes delas.

TOP 10 AMEAÇAS

Figura1: Mapa cibernético de ameaças no último mês

Uma ameaça cibernética é um ato malicioso que visa danificar ou roubar dados e/ou interromper serviços digitais em geral. Os ataques cibernéticos incluem ameaças como vírus, violações de dados e ataques de negação de serviço (DoS).

No último mês, as ameaças mais recorrentes foram:

HEUR:Trojan.Script.GenericEssa família inclui programas que possuem características típicas de scripts maliciosos de Trojan, como executar ações e criar backdoor.  
HEUR:Trojan.MSOffice.Emotet.gen  Esta família consiste em um malware que é usado para baixar outros malwares (“bankers”) para o dispositivo da vítima. O malware Emotet é distribuído principalmente por meio de e-mail de phishing que contém links para sites ou anexos maliciosos (documentos PDF ou Microsoft Word). Os documentos PDF contêm links para sites maliciosos e os documentos do Microsoft Word contêm macros maliciosas e instruções sobre como habilitar essas macros.  
HEUR:HackTool.Win32.KMSAuto.gen HackTool.Win64.HackKMS.b  Os aplicativos dessa família podem ativar produtos de software Microsoft não registrados. Tais aplicativos podem ser usados ​​em conjunto com softwares mal-intencionados ou indesejados.  
HEUR:Trojan.PDF.Badur.gena  Um documento em PDF “booby-trapped[1] com um link que leva a um site com conteúdo questionável.  
Trojan-Dropper.HTML.Agent.aqOs programas do Trojan-Dropper são projetados para instalar secretamente programas maliciosos embutidos em seus códigos nos computadores das vítimas. Tais programas são usados ​​por hackers para instalar secretamente programas de Cavalo de Troia e/ou vírus que protejam programas maliciosos conhecidos de serem detectados por soluções de antivírus  
HEUR:Trojan.Script.Miner.genEssa família inclui programas que são scripts mal-intencionados usados ​​para a mineração de moeda criptografada sem o conhecimento do usuário. Os resultados da mineração vão diretamente para as carteiras de criminosos.    
HEUR:Hoax.Script.Scaremail.genEssa família inclui mensagens de e-mail de chantagem que obrigam o usuário a pagar pela não divulgação de dados confidenciais, embora os invasores não tenham estes dados.  
HEUR:Trojan-Downloader.Win32.Banload.gen HEUR:Trojan-Downloader.Script.GenericFamília de Trojans que baixa outros malwares. Esses malwares baixados geralmente são membros da família Win32/Banker, trojans que roubam credenciais bancárias e outros dados confidenciais e os enviam de volta para um invasor remoto

[1] Documento PDF infectado.

VULNERABILIDADES

Todos os dias, fabricantes corrigem vulnerabilidades detectadas em seus produtos a fim de evitar que possíveis atacantes tirem proveito dessas falhas. Normalmente, hackers escrevem códigos e malwares capazes de explorá-las em aplicativos ou sistemas operacionais, sendo esses códigos denominados Exploits. Durante uma exploração, um invasor pode obter acesso não autorizado ou uso do aplicativo e/ou sistema operacional.

No gráfico abaixo, temos um número médio de notificações de exploração ocorridas entre os dias 07/03/2022 e 08/04/2022 no Brasil:

Figura2: Número de notificações

Os dias de maior pico foram:

  • 14/03/2022 – 6.998 notificações
  • 17/03/2022 – 6.930 notificações
  • 04/04/2022 – 7.881 notificações

Exploit:W32/CVE-2011-3402.A é uma detecção genérica que identifica arquivos de fonte maliciosos que podem ser usados para explorar uma vulnerabilidade conhecida no mecanismo de análise de fontes TrueType em versões específicas do sistema operacional Windows. Se usado com sucesso, esse exploit pode permitir a execução de código malicioso contido em dados de fonte especialmente criados em uma página da Web ou documento do Word. Esse exploit é conhecido por ser usado por malwares como o Cool exploit kit, que está associado à distribuição do ransomware Reveton, e o programa backdoor Duqu.

RANSOMWARE

Ransomware é um ataque cibernético que vem ganhando cada vez mais notoriedade – é uma questão de extrema importância na segurança da infraestrutura de qualquer empresa. Estes ataques vêm crescendo ano após ano e, depois de serviços como RaaS (Ransomware as a Service)[1], tornou-se popular e acessível inclusive para atacantes com conhecimentos ainda limitados.

No último mês, a ameaça de destaque foi o Trojan-Ransom.WIN32.Phny.a, ainda em primeiro lugar com 43,38% de uso em ataques ocorridos no Brasil. Tal trojan faz parte da família do WannaCry, ransomware de criptografia ativo desde 2017.


[1] Funciona como um programa de afiliados, no qual os desenvolvedores do ransomware fornecem o programa malicioso para seus afiliados (atacantes), geralmente com taxas mensais ou acordos nos quais se estabelecem a porcentagem de lucro para ambas as partes.

Figura3: Número de notificações
Figura 4: Incidência por ameaça

IOCS

Como forma de auxiliar na rápida detecção de ameaças, selecionamos os indicadores mais recorrentes em ataques no Brasil durante o último mês. Entre eles estão hashes MD5, URLs e C&C – Comando e Controle.

Tais indicadores ajudam na detecção de violações de dados, infecções por malware ou outras atividades maliciosas. Ao monitorar os indicadores de comprometimento, pode-se detectar ataques e agir rapidamente para evitar que ocorram violações ou limitar os danos interrompendo os ataques em estágios iniciais.

TOP 10 MD5

O hash mais observado foi da categoria malware, o HEUR:Trojan.Script.Generic.

  • MD5: B031E991F354D7FA51E7682452B3D5C1
  • Primeiramente visto em: 21 de março de 2022
  • Taxa de detecção no VirusTotal em 07/04/2022: 7/57
  • Classe: Malware

HEUR:Trojan.Script.Generic é uma detecção heurística[1] projetada para detectar genericamente um Cavalo de Troia, programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras, normalmente maliciosas, e sem o conhecimento do usuário.


[1] Heurística é uma tecnologia projetada para detectar códigos maliciosos de forma proativa, ou seja, sem a necessidade de contar com uma assinatura específica. Nesta linha, a solução de segurança analisa um arquivo e compara o seu comportamento com certos padrões que podem indicar a presença de uma ameaça. Para cada ação executada pelo arquivo, é atribuída uma pontuação. Por isso, se esse número for superior a um determinado valor, será classificado como um provável novo malware. Fonte: welivesecurity.

De maneira global, tal hash tem muito mais incidência no Brasil, com mais de 157 mil detecções, seguido pelos Estados Unidos, com cerca de 2.200 detecções no último mês.

Nota-se que houve um pico de detecção do hash mencionado entre os dias 21/03/2022 e 23/03/2022, com mais de 70 mil detecções.

Top 10 MD5DescriçãoNome(s)
B031E991F354D7FA51E7682452B3D5C1HEUR:Trojan.Script.Genericb28c12f432f7faab266a67f8116f1b341fa5aa4dce0a965fca8adca2a0fc3945 anexo_2020098492784.html
C3D11B1DEADC4C0736C520CDE8143BE5
024603BC678EC0B0C5C85F76B01DBF56anexo_2020098492784.html
754F13D7FDD0DDF9AACA24AC8526E0C0anexo_2020098492784.html
3B760FA0DC2F3719311336A60FF409F97ebe91aa8f20b8d4393d73e9484441bed6b28f1d5121db3b7f6ff4b076a4694f_1647522059789_anexo_2020098492784
9B0951269B64ADD3658B908FD2C02E0734a1d8c1898c71f91d43e05788adb9ac1827d38ad7f9b3fb219e67be27ed0797 anexo_2020098492784.html
FC5A81A9B840740B02BBBBE8F2BB6920anexo_2020098492784.html
335EB95FA1FADBE89A54A32110F70186anexo_2020098492784.html
DA3EF275E8A08E20A6A006A945C61193anexo_2020098492784.html
20ED258BB98E83EC5DB43DAEE1FD609Eanexo_2020098492784.html

É importante salientar que a maioria dos hashes mencionados acima tem relação com o mesmo nome de arquivo anexo_2020098492784.html, podendo-se deduzir que alguma campanha de phishing/malware estava ou ainda está sendo veiculada.

Observando o hash 9B0951269B64ADD3658B908FD2C02E07, identifica-se que este tem ligação com e-mails supostamente enviados por Fazenda.Gov. Em período de declaração de imposto de renda, é normal e esperado que criminosos se utilizem deste tema para realizar ataques de phishing.

Já o hash 20ED258BB98E83EC5DB43DAEE1FD609E mostra relação com as seguintes táticas e técnicas do MITRE ATT&CK:

TOP 10 URLS

No que se refere à URL, o domínio tinyurl2.ru foi o mais frequentemente encontrado, atingindo principalmente países como Brasil, Índia, Estados Unidos e Colômbia. No Brasil, o número de detecções chegou a 48.008.

TOP 10 C&C – COMANDO E CONTROLE

Um servidor de Comando e Controle – C&C é um computador controlado por um invasor ou cibercriminoso que é usado para enviar comandos a sistemas comprometidos por malware e receber dados roubados de uma rede alvo.

Nos TOP 10 C&C do último mês, o domínio iustinus-agi.com foi observado inúmeras vezes e categorizado como Malware e Botnet C&C (Backdoor.Win32.Shiz).

De acordo com a imagem, os países mais afetados são: Estados Unidos, Brasil, Alemanha, Espanha e Reino Unido.

A seguir, algumas informações sobre esse domínio são detalhadas, como endereços IP e arquivos hospedados no servidor.

URLs hospedadas no servidor:

  • iustinus-agi.com/zcredirect
  • iustinus-agi.com/zcvisitor

Endereços IP que resolvem para este servidor:

  • 146.112.49.133
  • 52.73.147.241
  • 34.195.129.193
  • 213.162.88.110
  • 146.112.49.177
  • 146.112.49.131
  • 146.112.49.14
  • 146.112.49.228
  • 146.112.49.145
Arquivos relacionados a esse IP
StatusMD5Nome
Malware45DE073220D50C54B2720A748E83E265VHO:Trojan-Proxy.Win32.Windigo.aq
MalwareC660ECE3DB968142A90A3B2641DA4490HEUR:Backdoor.Win32.Generic
MalwareC1DCBF6290D85ED01AA92A6A7803CAFBPDM:Trojan.Win32.Generic
MalwareABDE47D530FF41C46046EEEF811B506DBSS:Trojan.Win32.Generic
Adware2716794273A6C673AD02C1FE5C896450BSS:Trojan.Win32.Generic
Adware6B22DF52CA4368CA364B45045AECAE55BSS:Trojan.Win32.Generic
Adware6786269D385D61CBAA5121117B5B497ABSS:Trojan.Win32.Generic
Adware68763433E6C2E98AA44F1ADF075A7664BSS:Trojan.Win32.Generic
Adware45DFE2096EDDEE0AE988C1103137229FBSS:Trojan.Win32.Generic
AdwareD967AEB7E2D98F068DD37C4D29E16D8ABSS:Trojan.Win32.Generic

Adicionalmente, outros C&C também tiveram ocorrência relevante no Brasil e podem ser vistos a seguir:

AMEAÇAS PELO MUNDO

Algumas ameaças que se fazem presente no mundo também afetam significativamente o Brasil. Alguns grupos de ransomware, por exemplo, não tem limites geográficos que os impeçam de agir.

A GUERRA AINDA CONTINUA

A guerra entre Rússia e Ucrânia ainda continua sendo relevante no cenário da segurança cibernética. Enquanto o conflito não for resolvido, muitos grupos hacktivistas irão fazer parte dessa luta da maneira que acreditam, atingindo empresas com negócios na Rússia como forma de retaliação.

SRING4SHELL

Considerado como o novo Log4j, o Spring4Shell, que permite a execução remota de código – Remote Code Execution (RCE), é uma vulnerabilidade importante que afeta o  spring-core,  uma estrutura amplamente usada em aplicativos Java que permite que desenvolvedores de software desenvolvam aplicativos.

É aconselhado aplicar as recomendações de segurança fornecidas pelo próprio desenvolvedor:

HIVE

Também fazendo vítimas aqui no Brasil, o ransomware Hive foi observado pela primeira vez em junho de 2021 e provavelmente opera como um ransomware baseado em afiliados, utilizando uma grande variedade de Táticas, Técnicas e Procedimentos (TTPs), sendo um desafio para defesa e mitigação.

O Hive vem sendo observado ao redor do mundo e detecções mostram que as tentativas de ataque do ransomware Hive contra organizações foram mais observadas na América do Sul, com a Argentina recebendo o maior número, seguida pelo Brasil.

CONCLUSÃO

Diante do cenário exposto, percebe-se que o Brasil ainda precisa melhorar a sua postura digital. Várias novas ameaças surgem todos os dias, cada vez mais resilientes e complexas, exigindo das organizações mais atenção e cuidado com os seus ativos, investimento em treinamentos para seus usuários e constante atualização.

Os dados informados neste boletim ajudam na mitigação e prevenção das ameaças em destaque no momento e as recomendações a seguir são um complemento importante no combate a possíveis ataques.

RECOMENDAÇÕES

1. Mantenha backups de dados criptografados e offline e teste-os com frequência. Os procedimentos de backup devem ser realizados regularmente. É importante que os backups sejam mantidos offline, pois muitas variantes do ransomware tentam localizar e excluir ou criptografar backups acessíveis.

Diante do cenário exposto, percebe-se que o Brasil ainda precisa melhorar a sua postura digital. Várias novas ameaças surgem todos os dias, cada vez mais resilientes e complexas, exigindo das organizações mais atenção e cuidado com os seus ativos, investimento em treinamentos para seus usuários e constante atualização.

Os dados informados neste boletim ajudam na mitigação e prevenção das ameaças em destaque no momento e as recomendações a seguir são um complemento importante no combate a possíveis ataques.

2. Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, um plano de recuperação e um plano de comunicações associado.

  • O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware. Recomendamos o CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos.
  • O plano de recuperação deve abordar como operar se você perder o acesso ou o controle de funções críticas. A CISA oferece avaliações de resiliência cibernética sem custo e não técnicas para ajudar as organizações a avaliar sua resiliência operacional e práticas de segurança cibernética.

3. Mitigar vulnerabilidades e configurações incorretas voltadas para a Internet para reduzir o risco de atores que exploram essa superfície de ataque:

a. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. Os atores da ameaça geralmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam o ransomware.

Audite a rede para sistemas usando RDP, portas RDP fechadas não usadas, aplique bloqueios de conta após um número especificado de tentativas, aplique autenticação multifator (MFA) e registre tentativas de login RDP.

 b. Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A CISA oferece uma variedade de serviços de higiene cibernética gratuitos, incluindo varredura de vulnerabilidade, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas, como ransomware. Tirando proveito desses serviços, as organizações de qualquer porte receberão recomendações sobre maneiras de reduzir seus riscos e mitigar vetores de ataque.

c. Atualize o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorize a correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet – bem como software de processamento de dados da Internet, como navegadores da web, plug-ins de navegador e leitores de documentos. Se a correção rápida não for viável, implemente as atenuações fornecidas pelo fornecedor.

d. Certifique-se de que os dispositivos estejam configurados corretamente e os recursos de segurança estão ativados; por exemplo, desativar portas e protocolos que não estão sendo usados ​​para uma finalidade comercial.

e. Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative as versões desatualizadas do SMB.

4. Reduza o risco de e-mails de phishing chegarem aos usuários finais:

a. Habilitando filtros de spam.

b. Implementando um programa de conscientização e treinamento do usuário de segurança cibernética que inclua orientação sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes.

5. Utilize as melhores práticas disponíveis de segurança cibernética:

a. Garanta que todos os softwares antivírus, antimalwares e assinaturas estejam atualizados.

b. Implemente a lista de permissões de aplicativos (application allowlisting).

c. Garanta que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de contas, controle de contas de usuários e gerenciamento de contas com privilégios.

d. Empregue MFA para todos os serviços que forem possíveis, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos.

REFERÊNCIAS

  1. Kaspersky
  2. welivesecurity.com
  3. F-Secure
  4. TrendMicro
  5. cisco.com
  6. nist.gov