github-actions[bot]
commented
1 day ago Boletim de Segurança
:arrow_right: Ransomware Helldown expande ataques para infraestrutura virtualizada e Linux. Pesquisadores de cibersegurança identificaram uma nova variante do ransomware Helldown, agora com capacidade para atacar sistemas Linux e infraestruturas virtualizadas via VMware. O avanço sugere que os operadores do Helldown estão expandindo suas operações, indo além de ataques direcionados a sistemas Windows, já conhecidos por utilizarem código derivado do LockBit 3.0. O Helldown foi documentado pela primeira vez em agosto de 2024, sendo descrito como um grupo agressivo que explora vulnerabilidades de segurança para infiltrar redes. Setores como serviços de TI, telecomunicações, manufatura e saúde estão entre os principais alvos. O grupo utiliza táticas de dupla extorsão, ameaçando publicar dados roubados para forçar o pagamento de resgates. Em apenas três meses, estima-se que ao menos 31 empresas tenham sido atacadas. Ataques documentados mostram que o Helldown explora vulnerabilidades conhecidas e desconhecidas em firewalls Zyxel, permitindo acesso inicial à rede. A partir disso, os atacantes roubam credenciais, criam túneis VPN temporários e executam movimentos laterais na rede. No Windows, o ransomware apaga cópias sombra, encerra processos críticos como bancos de dados e aplicativos do Microsoft Office, e remove os binários após criptografar os arquivos, deixando apenas uma nota de resgate. A variante Linux do Helldown, embora menos sofisticada, incorpora funções para listar e encerrar máquinas virtuais (VMs) antes de iniciar a criptografia. Curiosamente, análises mostraram que essa funcionalidade existe no código, mas não foi invocada durante os ataques investigados. Isso levanta a hipótese de que o ransomware Linux ainda esteja em desenvolvimento.
:arrow_right: Gangues de ransomware recrutam pentesters para sofisticar ataques. A busca de gangues de ransomware por profissionais especializados em testes de intrusão tem crescido significativamente, de acordo com o relatório, elaborado pelo Cato Cyber Threats Research Lab Q3 2024. Entre as organizações criminosas identificadas recrutando esses especialistas estão Apos, Lynx e Rabbit Hole, com anúncios publicados em fóruns de cibercriminosos, como o Russian Anonymous Marketplace (RAMP). Os anúncios encontrados detalham requisitos de experiência e habilidades em testes de penetração, prática que tradicionalmente serve para avaliar a segurança de sistemas, mas que agora é usada por essas gangues para atacar redes corporativas. O objetivo dessas gangues é garantir que seus ataques sejam bem-sucedidos ao testar previamente o ransomware antes de implantá-lo em ambientes reais. A evolução do modelo de Ransomware-as-a-Service (RaaS) é um dos fatores que impulsionam essa tendência, permitindo que até mesmo criminosos com habilidades técnicas limitadas entrem no mercado. O relatório também revelou anúncios na dark web oferecendo códigos-fonte e ferramentas relacionadas a ransomware. Em um exemplo, o código-fonte de um locker estava sendo vendido por US$ 45.000. Outro caso destacava um usuário conhecido como ‘eloncrypto’ comercializando um construtor para o ransomware MAKOP, derivado da variante PHOBOS. Essas vendas facilitam o acesso de novos atores a ferramentas avançadas, alimentando o ecossistema criminoso. Além do avanço no recrutamento e nas ferramentas de ransomware, o relatório chamou atenção para o aumento das ameaças associadas à Shadow AI. Esse termo se refere ao uso de soluções de inteligência artificial por funcionários ou departamentos sem aprovação formal ou governança, expondo organizações a riscos de privacidade e segurança.
:arrow_right: Ataques miram falhas não corrigidas no VMware vCenter Server. Duas vulnerabilidades críticas no VMware vCenter Server estão sendo ativamente exploradas por atacantes, incluindo um grave problema de execução remota de código (RCE) rastreado como CVE-2024-38812. A falha foi inicialmente descoberta por pesquisadores do TZL durante o concurso de hacking Matrix Cup 2024 na China. Ela é causada por uma vulnerabilidade de heap overflow no protocolo DCE/RPC do vCenter, impactando produtos como o VMware vSphere e o VMware Cloud Foundation. Outra falha, também identificada pelos pesquisadores, é uma vulnerabilidade de escalonamento de privilégios rastreada como CVE-2024-38813. Essa brecha permite que atacantes elevem privilégios para o nível de root por meio de pacotes de rede especialmente manipulados. Ambas as vulnerabilidades receberam atualizações de segurança em setembro, mas a Broadcom emitiu um alerta posterior indicando que o patch original do CVE-2024-38812 não corrigiu completamente a falha. A empresa reforçou a recomendação para que administradores apliquem as atualizações revisadas imediatamente. Sem soluções alternativas disponíveis, a única forma de mitigar essas vulnerabilidades é atualizar os sistemas afetados. Broadcom também publicou um comunicado suplementar com orientações detalhadas para a implementação dos patches e informações sobre possíveis problemas conhecidos para aqueles que já realizaram a atualização. A exploração de falhas no VMware vCenter Server não é novidade, com grupos de ransomware e hackers patrocinados por Estados frequentemente mirando essas vulnerabilidades.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: