CLM e Picus Labs listam as seis principais ciberameaças impetradas pelos hackers no mês passado, uma especial para o Brasil
CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, repercute o relatório do Picus Labs, laboratório da Picus Security, pioneira em simulação de violação e ataque (BAS – Breach and Attack Simulation), sobre as seis principais ciberameaças perpetradas em março.
“Mais uma vez os cibercriminosos explorarem vulnerabilidades existentes, inclusive em sistemas de empresas poderosas, com campanhas tão perigosas que alcançaram CVSS (Common Vulnerability Scoring System, padrão utilizado para qualificar e avaliar vulnerabilidades presentes nos sistemas) muito críticos, de 9,8”, menciona o CEO da CLM, Francisco Camargo, que alerta sobre a importância de as corporações adotarem soluções de proteção preventivas, realmente eficazes.
“Na CLM nos preocupamos muito com o aumento dos ataques. As organizações que não estão preparadas podem ter danos importantes, mas mais do que isso, sua vulnerabilidade é a vulnerabilidade do país e reduzem a resiliência do Brasil como um todo”, alerta Francisco Camargo.
Segundo o gerente de produtos PICUS, Alisson Santos, a escolha das soluções mais avançadas é essencial nessa corrida pela proteção cibernética. “Um bom exemplo disso é a Picus Security, que acaba de atingir o mais alto nível no Gartner Peer Insights, pontuação atribuída pelos usuários e potenciais usuários, com validação do Gartner, que consideraram em sua decisão de compra, diferentes soluções, entre elas a plataforma BAS da Picus”, conta Santos.
Camargo assinala “isto valida nossos esforços em trazer o melhor em cibersegurança existente no mundo”.
Além disso, com base em uma análise de mais de meio milhão de amostras de malwares, relatório da Picus, o Picus Red Report 2023, identificou as dez técnicas MITRE ATT&CK mais amplamente utilizadas pelo crimeware.
A Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu um comunicado sobre o ransomware Royal (DEV-0569). Este ransomware visa principalmente setores como saúde, comunicações, manufatura e educação nos Estados Unidos e no Brasil. Os ciberatacantes do ransomware Royal empregam diversas táticas, técnicas e procedimentos (TTPs) em suas campanhas de ataque.
Inicialmente, obtêm acesso e estabelecem persistência nos sistemas de suas vítimas usando engenharia social, explorando aplicativos públicos vulneráveis, como servidores VMware ESXi, e lançando campanhas de phishing com anexos e links maliciosos.
Camargo avalia que o mundo digital vai continuar a testemunhar ataques cada vez mais perigosos, impondo importante desafio aos CISOS, bem como aos desenvolvedores de tecnologias de cibersegurança, muito em decorrência das inúmeras vulnerabilidades zero-day descobertas e compartilhadas (vendidas) na Dark Web.
“O Picus Labs adicionou rapidamente simulações de ataque para essas ameaças emergentes, bem como todas as outras impetradas em março e em outros meses, à abrangente Picus Threat Library –Biblioteca de Ameaças da Picus. Desta forma, a plataforma Picus Complete Security Validation consegue simular os ciberataques para validar e melhorar controles de segurança”, conta Camargo.
As Ciberameaças mais perigosas de março
Em março, o cenário de ameaças cibernéticas continuou avançando. Seis delas tiveram grande destaque:
- Escalonamento de privilégios do Outlook
- Execução remota de código do MS Word
- LockBit 3.0
- Telerik UI
- Grupo de ransomware Magniber
- Royal Ransomware
DETALHAMENTO TÉCNICO DAS AMEAÇAS
- Vulnerabilidade de escalonamento de privilégios do Microsoft Office Outlook
O CVE-2023-23397 é uma vulnerabilidade crítica encontrada no Microsoft Outlook que permite que os invasores obtenham credenciais de autenticação de usuários (Net-NTLMv2) sem qualquer interação com eles. “Esta vulnerabilidade acontece em decorrência da incapacidade de o Outlook lidar com propriedades de lembretes específicas (PidLidReminderFileParameter).
- CVE-2023-21716: vulnerabilidade de execução remota de código do Microsoft Word
A Microsoft lançou, em 14 de fevereiro de 2023, um patch para resolver uma grave vulnerabilidade de execução remota de código no analisador RTF do Microsoft Office Word, CVE-2023-21716, como parte do Patch Tuesday (correções para erros do sistema). Essa vulnerabilidade tem uma pontuação CVSS crítica, de 9,8 e permite que invasores executem um código arbitrário com os privilégios da vítima por meio de arquivos RTF.
- Alerta CISA AA23-075A: LockBit 3.0
A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um comunicado, em março, sobre o ransomware LockBit 3.0, um Ransomware-as-a-Service (RaaS) criado pela gangue LockBit. Esse grupo, ativo desde setembro de 2022, tem como alvo vários setores e países, sendo responsável por quase 40% dos ataques de ransomware em todo o mundo. Na verdade, estima-se que o grupo de ransomware LockBit recebeu mais de US$ 100 milhões com suas campanhas de ataque, tornando-se um dos grupos de ransomware mais prolíficos.
- Alerta CISA AA23-074A: vulnerabilidade Telerik UI
O comunicado conjunto AA23-074A da CISA, FBI e Multi-State Information Sharing & Analysis Center (MS-ISAC) detalha a exploração de uma vulnerabilidade crítica do Progress Telerik (CVE-2019-18935) impetrada por cibercriminosos, incluindo um APT, direcionado a uma agência federal civil dos EUA. Esta vulnerabilidade, com uma pontuação CVSS de 9,8 (Crítica), deve-se a uma falha de desserialização .NET na função RadAsyncUpload da IU Progress Telerik para versões ASP.NET AJAX anteriores a 2019.3.1023.
- CVE-2023-24880: vulnerabilidade explorada pelo grupo de ransomware Magniber
O Microsoft MSRC relatou uma vulnerabilidade de zero-day, CVE-2023-24880, afeta o Windows 10, 11 e o Server 2016 e versões posteriores, que envolve um desvio de segurança do Windows SmartScreen, explorada por criminosos para distribuir o ransomware Magniber. Os pesquisadores do Google TAG vincularam esse exploit ao ransomware Magniber, e o Picus Labs adicionou simulações de ataque à sua Threat Library.
- Alerta CISA AA23-061A: Royal Ransomware – comunicado CISA sobre o ransomware Royal (DEV-0569) mais acima.