Ninguém está a salvo das vulnerabilidades de segurança – nem mesmo os cibercriminosos. Inep comete sua segunda falha de segurança massiva no ano, expondo código-fonte do sistema do ENEM.
O que você vai ler:
- Operação de ransomware é vítima de vulnerabilidade e experimenta o próprio veneno
- Gangue REvil também é vítima de seus próprios erros
- Plataforma Discord continua na mira de cibercriminosos
- Inep vaza código-fonte do sistema do ENEM e dados de usuários são expostos
Operação de ransomware é vítima de vulnerabilidade e experimenta o próprio veneno
Uma grande operação de ransomware foi impedida de lucrar milhões de dólares após pesquisadores de segurança descobrirem uma falha que permitia que os arquivos criptografados fossem recuperados sem a necessidade de se pagar resgate aos criminosos.
O ransomware era conhecido como “BlackMatter”.
Ativo desde julho deste ano, o grupo por trás da ameaça existe há muito mais tempo: de acordo com analistas de segurança cibernética, trata-se, tão somente, de uma versão atualizada do ransomware DarkSide.
Acontece que, em dezembro do ano passado, pesquisadores notaram um erro cometido pelos operadores do DarkSide, que permitia a descriptografia dos dados sequestrados pela versão Windows do ransomware sem a necessidade de pagamento de resgate. Embora os criminosos tenham corrigido a falha em janeiro, essa brecha foi um alerta inicial para outros prováveis erros similares.
No entanto, descobriu-se que o grupo de ransomware cometeu um erro semelhante mais uma vez ao mudar sua marca, e os pesquisadores identificaram uma falha na carga útil do ransomware BlackMatter que permitia às vítimas recuperar seus arquivos sem pagar o resgate.
Depois de descobrir a segunda vulnerabilidade, os pesquisadores se mobilizaram para fornecer ao maior número possível de vítimas do BlackMatter a chave de descriptografia, antes de que elas desembolsassem milhões de dólares.
Infelizmente, o BlackMatter acabou percebendo e corrigiu a vulnerabilidade.
Gangue REvil também é vítima de seus próprios erros
De acordo com fontes da Reuters, no mês passado os operadores do ransomware REvil retomaram suas operações a partir de um backup que, ao que parece, estava sob controle do governo. O grupo, porém, não percebeu que a polícia estava controlando alguns de seus sistemas internos.
A Reuters citou Oleg Skulkin, vice-chefe do laboratório forense da empresa de segurança russa Group-IB: “ironicamente, a tática favorita da própria gangue – de comprometer os backups – foi voltada contra eles. ”
Os backups são vistos como a melhor forma de proteger as organizações contra ataques de ransomware. Se uma entidade pode simplesmente restaurar sistemas de backups, ela não precisa pagar para obter uma chave de descriptografia para liberar os sistemas sequestrados.
Os operadores de ransomware sabem disso. Portanto, eles transformam o comprometimento de backups em uma arma a mais, para evitar que suas vítimas ignorem os ataques e restaurem as operações desses backups com facilidade.
Porém, esse erro não é a primeira vulnerabilidade do grupo. Rumores sobre ações contra o REvil surgiram já há um tempo: na semana passada, um relato informou que no dia 17 de outubro um operador REvil havia anunciado que o grupo estava “fechando as portas” em um fórum de língua russa de alto nível após seu domínio ter sido “sequestrado”.
O ator da ameaça explicou que uma pessoa não-identificada havia usado as chaves privadas do Tor do ex-porta-voz do grupo, “Desconhecido”, para acessar o domínio REvil. Um dia da caça, outro do caçador.
Plataforma Discord continua na mira de cibercriminosos
Cibercriminosos estão abusando dos principais recursos da popular plataforma de comunicação Discord para espalhar vários tipos de malware – especialmente trojans de acesso remoto (RATs), que possibilitam aos invasores assumir o controle dos sistemas e colocar os 150 milhões de usuários da plataforma em risco.
“Muitos arquivos enviados através do Discord são maliciosos, indicando para uma quantidade significativa de abuso de CDN auto-hospedado por agentes de ameaça que criam canais com o único propósito de entregar esses arquivos”, informa um relatório publicado em outubro de 2021.
Inicialmente, o Discord focava em gamers, mas a plataforma agora também está sendo usada por organizações a fim de facilitar a comunicação no local de trabalho. O armazenamento de arquivos maliciosos no CDN do Discord e a proliferação de malware na plataforma significa que muitas organizações podem estar sujeitas a ameaças às suas redes.
Os recursos do malware mais recentes encontrados na plataforma incluem a capacidade de fazer capturas de tela, baixar e executar arquivos adicionais e realizar keylogging. Os pesquisadores também descobriram que a Discord Bot API – uma implementação simples de Python, que facilita modificações e encurta o processo de desenvolvimento de bots na plataforma – “pode facilmente transformar um bot em um RAT simples”, que os cibercriminosos podem usar para obter acesso total e controle remoto do sistema de um usuário.
Mas não é a primeira vez que o Discord sofre com um problema de malware. Em julho, pesquisadores da Sophos revelaram que o número de detecções de malware na plataforma aumentou significativamente, em comparação com o ano passado, observando também o uso abusivo do CDN para hospedar arquivos maliciosos. Os pesquisadores também disseram na época que a API do Discord estava sendo explorada para extração de dados roubados e para facilitar a criação de canais de comando e controle de hackers.
Inep vaza código-fonte do sistema do ENEM e dados de usuários são expostos
O Instituto Nacional de Estudos e Pesquisas Educacionais (Inep) deixou todo o código-fonte do sistema do ENEM exposto em seu domínio inep.gov.br. Os arquivos, que não são criptografados ou protegidos por senha, podem ser acessados por qualquer um com interesse – e intenções duvidosas ou não.
Com esses dados em mãos, cibercriminosos podem conseguir acesso ao servidor do Inep e, potencialmente, vazar dados, prejudicar alunos, operar páginas de phishing e lucrar com a vulnerabilidade.
Essa exposição foi identificada pelo pesquisador autônomo de segurança da informação, André Aguiar. Em uma entrevista exclusiva à The Hack, o pesquisador revelou que é candidato do Enem e, “após notar um comportamento estranho no site, resolveu investigar a página do candidato, onde encontrou os dados expostos”. André entrou em contato com o Inep imediatamente após encontrar os arquivos no site, mas ainda não obteve resposta.
A exposição de código-fonte de um sistema não é uma vulnerabilidade, por si só, mas com acessos aos arquivos por meio desse código é possível estudar o sistema e encontrar todas as falhas e vulnerabilidades de lógica, de código e até de autenticação e segurança – aí sim podendo se tornar uma arma nas mãos erradas.
Não à toa muitos grupos de criminosos se empenham em desenvolver ferramentas que automatizam a busca por falhas, conhecidas como ferramentas de força bruta. “Com uma ferramenta dessa, dá até pra replicar as requisições e alterar dados de participantes do ENEM, desde dados pessoais até nota”, comenta Aguiar.
Esse é o segundo problema de segurança do Inep neste ano. Em setembro de 2021, foi revelado que o órgão vazou dados de mais de 5 milhões de alunos participantes do Enade – caso que até hoje não foi esclarecido pela instituição.
Mantenha sua empresa segura. Conheça as soluções da Compugraf e saiba como podemos te ajudar!