A ISH Tecnologia, empresa de capital 100% nacional, líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas, divulgou um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de setembro.

O mês de setembro foi marcado por novos e perigosos grupos de ransomware, atuando com variadas e complexas estratégias de ataque, além de uma vulnerabilidade crítica no Windows explorada por meio do pacote Office.

Confira a lista das vulnerabilidades encontradas pela ISH, e como se defender delas:

One Percent e Hive – Novos grupos de ransomware
Em um alerta também dado pelo próprio FBI, trata-se de dois grupos que têm utilizado técnicas avançadas de phishing para extorsão de dados. O One Percent, que é conhecido desde o fim de 2020, atua em diferentes etapas: inicialmente, dá à vítima um “aviso” do ataque e da obtenção dos dados, e do link para efetuar o pagamento e recuperar essas informações. Caso esse pagamento não seja feito rapidamente, os dados começam pouco a pouco a serem soltados em sites de terceiros, para então serem leiloados por completo.

Já o Hive, mais recente, atuando desde junho de 2021, provavelmente se trata de um grupo que atua com um ransomware baseado em afiliações com outros. Uma vez infiltrado no sistema, o grupo procura por processos baseados em antívurs e backups para encerrá-los e prevenir sua detecção.
Como se defender? A ISH lista alguns e-mails usados pelo One Percent para envio de links maliciosos, além de sites do Hive, a serem prontamente evitados:

· 1percentransomware@protonmail.com
· 1percentransom@protonmail.com
· https://anonfiles.com
· https://mega.nz
· https://ufile.io
· https://www.sendspace.com
· https://send.exploit.in

Além disso, existem as dicas “protocolares” para casos de ransomware, como manter backups offline regularmente testados, criar estratégias de resposta padronizadas a ataques cibernéticos, mitigar brechas causadas por configurações incorretas de ativos expostos na internet e reduzir os e-mails de phishing, por meio de treinamentos e filtros anti-spam.

Falha crítica no Windows por meio do Office
Por meio de uma vulnerabilidade encontrada no motor MSHTML, utilizado em processos de renderização no Internet Explorer, o cibercriminoso pode criar arquivos dentro do pacote Office com programas maliciosos, que instalam malwares dentro da máquina. Esta brecha tem afetado as versões 7 e 10 do Windows, além do Windows Server, desde a edição 2008 até a de 2019.

Como se defender? A equipe da ISH define a vulnerabilidade como crítica, e recomenda este link para passos de proteção: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Novo vetor de ataque do grupo Turla
O grupo Turla Ransomware já infectou mais de 45 países desde as primeiras notícias de sua existência (2004), indo desde fundações governamentais até áreas da saúde, educação e até mesmo militar. Ele recentemente tem sido detectado utilizado um novo tipo de malware backdoor (tipo de malware que nega os procedimentos padrões de autenticação no sistema). Isso faz com que o malware instalado tenha uma “segunda chance” de permanecer na máquina infectada, ainda que os sistemas de proteção tenham removido a ameaça primária.

Como se defender? Assim como nos casos de One Percent e Hive, não existe uma saída padronizada para situações de ransomware, mas sim uma lista de boas práticas e educação em cibersegurança para entender de que forma esses ataques geralmente chegam até a vítima.

Vermilion Strike
Descoberta pela empresa Intezer em agosto deste ano, trata-se de uma brecha atingindo sistemas Linux, que utiliza o protocolo de controle do Cobalt Strike (programa de simulação de ataques) para ter privilégios como acesso remoto às máquinas e upload de arquivos.

Em amostra submetida ao VirusTotal, serviço de análise de arquivos e URLs em busca de vulnerabilidades, foi detectada a origem da ameaça como a Malásia, e ainda não havia sido reportada por nenhum antivírus até a descoberta da Intezer.

Como se defender? Por se tratar de mais uma situação de ransomware, as mesmas boas práticas seguem valendo aqui.