Escolar Documentos
Profissional Documentos
Cultura Documentos
2022
Relatório
1º semestre
APURA CYBER INTELLIGENCE
2022
Relatório
1º semestre
TL P: W H IT E
Índice
Introdução 03
Vulnerabilidades 11
Fraudes financeiras 14
Conclusão 16
AP URA CY BE R IN T E L L I GE N C E 2
Introdução
Após alguns anos cuja preocupação principal foi uma pandemia que
causou impactos negativos em praticamente todos os aspectos de nossas
vidas, o ano de 2022 começou com a esperança de dias melhores.
AP URA CY BE R IN T E L L I GE N C E 3
Foto: Engin Akyurt, Unsplash
Conflito
Rússia X
Ucrânia
4
No caso da Rússia, que notoriamente recruta agentes “civis” para realizar
esses tipos de operação, é quase impossível comprovar a responsabilidade
do governo do país nos ataques. Quando é possível apontar uma pessoa
diretamente ligada a um ataque, essa pessoa não tem vínculo comprovado
com o governo.
5
Ransomware
Conti: o fim?
Apesar de um início de ano bastante prisão desses indivíduos, uma prisão de fato se
torna bastante difícil enquanto eles estiverem
ativo, incluindo ataques diretos
sob a proteção do Estado a quem veladamente
contra duas nações, Peru e Costa servem.
Rica, o grupo responsável pelo
ransomware Conti encerrou as ENTÃO O CONTI ACABOU DE FATO?
atividades em maio de 2022.
Pouco provável. O grupo dispunha de expertise,
Esse suposto encerramento se deveu em pessoal, tecnologia e recursos suficientes para
grande parte à exposição a que o grupo manter a atividade maliciosa por muito tempo.
foi sujeito por conta do posicionamento Mas ficar sob os holofotes não era a atenção
explicitamente a favor da Rússia no confronto que eles desejavam. Encenaram portanto um
contra a Ucrânia. “fim” que na verdade significou uma mudança
de paradigma. Alguns atores envolvidos com as
Um pesquisador de segurança que havia obtido atividades do Conti migraram para a operação
acesso a diversos documentos pertencentes ao de outros ransomware; outros saíram para
grupo, incluindo conversas entre os membros fundar seus próprios grupos, com suas próprias
e afiliados, expôs todas as informações amostras de ransomware. Grupos menores,
publicamente dando um golpe brutal nas cuja operação exige menos dedicação que pode
operações do Conti. A identidade de vários ser terceirizada para pessoas não pertencentes
operadores do grupo foi revelada com riqueza ao Conti original.
de detalhes.
A administração do Conti original, verticalizada,
O que poderia ter sido uma sentença de prisão sob uma disciplina rígida, quase militar, dá lugar
certa contra esses indivíduos, acabou sendo a uma administração mais difusa, horizontal,
apenas um obstáculo para a continuidade da com menos operadores em posição de
operação do Conti. Os membros expostos comando.
do grupo são quase todos cidadãos russos,
protegidos pela prestação de serviços que No vácuo deixado pelo Conti, um dos grupos de
oferecem ao governo russo, obviamente, não ransomware mais ativos e audaciosos, outros
de forma explícita e declarada. Ainda que vários surgem, alguns ligados diretamente
recompensas milionárias sejam oferecidas por a eles, outros apenas se aproveitando da
forças da lei internacionais para quem levar à oportunidade deixada.
AP URA CY BE R IN T E L L I GE N C E 6
GRUPOS DE AMEAÇA QUE SURGIRAM
OU FORAM IDENTIFICADOS NO
PRIMEIRO SEMESTRE DE 2022:
JULHO
▶ YANLUOWANG
▶ RedAlert
▶ LILITH
▶ 0mega
▶ BianLian
AP URA CY BE R IN T E L L I GE N C E 7
Novas
ameaças,
novos alvos
AP URA CY BE R IN T E L L I GE N C E 8
Outras ameaças de destaque, neste primeiro semestre:
▶ OrBit, malware exclusivo para Linux, desenvolvido para roubar senhas
e com avançados recursos para manter persistência nos sistemas
atingidos.
▶ Syslogk, rootkit para Linux, opera a nível do kernel, o que dá a ele
a possibilidade de adquirir privilégios elevados, e é utilizado como
backdoor.
▶ Symbiote, malware para Linux com avançados recursos de ocultação,
cujos objetivos principais são o roubo de credenciais e oferecer acesso
remoto aos sistemas afetados.
▶ FritzFrog, escrito em Go, este botnet não possui gerenciamento
centralizado, opera no modelo peer-to-peer, e infecta máquinas para
mineração de criptomoedas.
▶ CloudMensis, spyware para MacOS desenvolvido em Objective-C, tem
como objetivo o roubo de documentos, screenshots, anexos de e-mail e
outras informações.
▶ ZuoRAT, malware focado em roteadores das fabricantes mais
renomadas, que são utilizados como porta de entrada para atacar outros
aparelhos conectados. Existe desde 2020, mas uma nova compilação
foi identificada. Explora vulnerabilidades antigas em dispositivos
não atualizados e age também como dropper de outras ameaças,
desenvolvidas tanto para sistemas Windows quanto Linux e MacOS.
AP URA CY BE R IN T E L L I GE N C E 9
Mercado de dados
e de credenciais
O mercado de dados vazados e credenciais as empresas e órgãos que derem causa a estes
continua bastante aquecido neste primeiro vazamentos estão sujeitas às sanções previstas
semestre. na lei.
Vulnerabilidades
11
1º semestre | 2022
Vulnerabilidades
CVE-2022-26134 e CVE-2022-26138
Vulnerabilidades críticas no Atlassian Confluence
CVE-2022-26833
Vulnerabilidade crítica em sistema industrial da Open Automation Software
CVE-2022-22972
Vulnerabilidade crítica em produtos VMWare
CVE-2022-1388
Vulnerabilidade crítica no serviço BIG-IP da F5
CVE-2022-0778
Vulnerabilidade de severidade alta no PAN-OS da Palo Alto
CVE-2022-22965
Apelidada de “SpringShell” ou “Spring4Shell”, a vulnerabilidade afeta o
framework Java Spring
CVE-2022-1096
Vulnerabilidade de severidade alta no Google Chrome
CVE-2022-21907
Vulnerabilidade crítica na pilha HTTP do Windows (Microsoft)
CVE-2022-2185
Vulnerabilidade crítica no GitLab, versões Community e Enterprise
CVE-2022-1161
Vulnerabilidade crítica em sistema de automação industrial da Rockwell
CVE-2022-0847
Vulnerabilidade de severidade alta no Kernel Linux, apelidada de “Dirty Pipe”
12
BEC
Business Email
Compromise
A equipe de threat hunting da Apura se deparou que os clientes são orientados a realizar os
com novos casos de BEC focados em nossos pagamentos em contas sob o controle dos
clientes, nos primeiros meses de 2022. criminosos.
Todos os casos envolveram o registro de Casos como esse têm sido responsáveis por
domínio bastante similar ao do cliente alguns dos maiores prejuízos relacionados a
(typosquatting ou domínios registrados em TLD incidentes de segurança sofridos por empresas
diferentes), unicamente para ser utilizado no e organizações nos últimos anos em todo o
envio de e-mails. mundo.
AP URA CY BE R IN T E L L I GE N C E 13
Fraudes
financeiras
14
empréstimos online. Tendo em vista o crescimento de oferta deste tipo
de serviço nos últimos anos, é natural que a busca por “burlador” tenha
crescido proporcionalmente.
15
Conclusão
A guerra entre Rússia e Ucrânia ainda terá muitas repercussões
no cenário de cibersegurança até que a paz seja mais uma
vez restabelecida entre as duas nações. Enquanto as tensões
aumentam na região com a ajuda de outros países sendo
oferecida para a Ucrânia e a pressão internacional para o fim da
invasão do território daquela nação, não é exagero imaginar que
a Rússia vá reagir no campo cibernético contra alguns desses
países, quiçá, todos, provavelmente por meio dos muitos atores
que agem veladamente sob a supervisão russa.
16
linkedin.com/company/apura São Paulo - (11) 5504-1966
twitter.com/apura_oficial Brasília - (61) 3255-1245
http://apura.com.br