github-actions[bot]
commented
3 weeks ago Boletim de Segurança
:arrow_right: Grupo TeamTNT lança nova campanha focada em ambientes Cloud. O notório grupo TeamTNT está preparando uma nova campanha em grande escala, visando ambientes nativos de nuvem para minerar criptomoedas e alugar servidores comprometidos para terceiros. Segundo os pesquisadores, o grupo está focado em daemons Docker expostos para implantar o malware Sliver, um verme cibernético, e criptomineradores. Além disso, utilizam o Docker Hub como infraestrutura para distribuir seu malware e monetizar os servidores infectados. Além de usar o Docker Hub para hospedar e distribuir cargas maliciosas, o grupo também oferece o poder computacional das máquinas infectadas para terceiros, ampliando suas fontes de receita. Os primeiros indícios dessa campanha surgiram no início de outubro de 2024, quando a empresa Datadog detectou tentativas maliciosas de agregar instâncias infectadas de Docker a um Docker Swarm. Embora na época a atribuição formal ao TeamTNT não tenha sido feita, agora ficou claro que o grupo está por trás dessas atividades. Os ataques são realizados identificando endpoints API Docker expostos e não autenticados, utilizando ferramentas como masscan e ZGrab para implantar criptomineradores. A infraestrutura comprometida é então vendida em plataformas de aluguel de mineração, como o Mining Rig Rentals, indicando a maturidade do modelo de negócios ilícitos do grupo.
:arrow_right: Membros do REvil recebem penas de prisão em condenação na Rússia. Quatro membros da operação de ransomware REvil, agora extinta, foram condenados a vários anos de prisão na Rússia, marcando uma rara condenação de cibercriminosos no país por acusações de hacking e lavagem de dinheiro. Segundo o jornal russo Kommersant, um tribunal de São Petersburgo declarou Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky e Ruslan Khansvyarov culpados pela circulação ilegal de meios de pagamento. Além disso, Puzyrevsky e Khansvyarov foram condenados pelo uso e distribuição de malware. Os quatro fazem parte de um grupo de 14 pessoas detidas inicialmente em conexão com o caso. Outros quatro membros do grupo — Andrei Bessonov, Mikhail Golovachuk, Roman Muromsky e Dmitry Korotaev — estão sendo processados em um novo caso criminal relacionado ao acesso ilegal a informações de computadores, conforme informou o Kommersant. O grupo REvil era considerado um dos mais prolíficos em ataques de ransomware, sendo desmantelado após uma operação inédita do Serviço Federal de Segurança da Rússia (FSB), que prendeu diversos membros da organização. Em uma ação anterior, em 2024, Yaroslav Vasinskyi, cidadão ucraniano de 24 anos, foi condenado a 13 anos de prisão nos EUA por realizar mais de 2.500 ataques com o ransomware REvil, exigindo resgates que somavam mais de US$ 700 milhões. A condenação desses membros do REvil na Rússia ocorre pouco tempo depois de as autoridades russas terem aberto uma investigação contra Cryptex e UAPS, duas entidades sancionadas pelos EUA por fornecerem serviços de lavagem de dinheiro para cibercriminosos.
:arrow_right: Ransomware Qilin.B desativa ferramentas de segurança e dificulta recuperação de dados. Pesquisadores de cibersegurança descobriram uma nova variante avançada do ransomware Qilin, que apresenta maior sofisticação e táticas aprimoradas para evitar a detecção. Entre suas melhorias, destaca-se o suporte à criptografia AES-256-CTR para sistemas com capacidades AESNI, além de ainda utilizar o algoritmo Chacha20 para sistemas que não possuem esse suporte. Além disso, a variante usa RSA-4096 com preenchimento OAEP para proteger as chaves de criptografia, tornando a descriptografia dos arquivos impossível sem a chave privada do atacante ou os valores de semente capturados. O ransomware Qilin, também conhecido como Agenda, foi identificado pela primeira vez pela comunidade de cibersegurança em julho/agosto de 2022, com as versões iniciais escritas em Golang, antes de migrarem para a linguagem Rust. Um relatório da Group-IB de maio de 2023 revelou que o esquema de ransomware como serviço (RaaS) do Qilin permite que seus afiliados recebam entre 80% e 85% de cada pagamento de resgate. Ataques recentes vinculados à operação do Qilin roubaram credenciais armazenadas em navegadores Google Chrome em um conjunto limitado de endpoints comprometidos, o que sinaliza uma mudança em relação aos ataques de dupla extorsão típicos. Entre as táticas observadas estão a interrupção de serviços associados a ferramentas de segurança, o apagamento contínuo dos logs de eventos do Windows e a autoexclusão após o ataque. A variante também inclui funções para encerrar processos ligados a serviços de backup e virtualização, como Veeam, SQL e SAP, além de excluir cópias de sombra de volume, complicando os esforços de recuperação.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: