O ransomware dominou o cenário de ameaças no primeiro trimestre, período que também registrou um aumento nos engajamentos envolvendo atividades de grupos que operam ameaças persistente avançadas (APTs, na sigla em inglês), incluindo um grupo patrocinado pelo governo iraniano, que potencializa drives USB. Além disso, uma ameaça apelidada de Deep Panda, que explora o bug Log4j, esteve bastante ativa entre os meses de janeiro e março.
As informações constam no relatório trimestral da Cisco Talos, braço de inteligência em ameaças da Cisco, divulgado nesta terça, 26, o qual destaca, além dos ataques mais predominantes, os alvos preferenciais dos grupos operadores de ameaças e outras tendências.
O setor mais visado por ameaças cibernéticas de todos os tipos foi o de telecomunicações, seguindo uma tendência que já vinha se consolidando no trimestre anterior, quando esteve entre as verticais mais cobiçadas pelos hackers, seguida de perto pelos setores de educação e governo. Outros segmentos atingidos foram o de energia, serviços financeiros, assistência médica, produção e equipamentos industriais, manufatura, imobiliário e serviços públicos.
O ransomware foi a ameaça predominante com a qual o Cisco Talos Incident Response (CTIR) lidou no primeiro trimestre. Nenhuma família específica de ransomware foi observada atuando duas vezes em incidentes ocorridos até março. Isso, segundo os pesquisadores do CTIR, é indicativo de uma tendência de “democratização” dos ataques de ransomware, que começaram a ser observados por eles no ano passado.
Veja isso
Cisco e IBM contra o cibercrime
Setor de aviação é alvo de grupo hacker ‘primário’ desde 2017
Durante o primeiro trimestre foi verificado ainda o surgimento de famílias de ransomware emergentes, incluindo 0 Cerber — também conhecido como CerberImposter —, o Entropy e o Cuba. Houve também famílias de ransomware de alto perfil, como Hive e Conti. O CTIR observou grupos de ransomware exfiltrando dados confidenciais e que utilizavam o método de dupla extorsão para pressionar as vítimas a pagar o resgate, tendência que começou em 2019.
Depois do ransomware, a próxima ameaça mais observada no trimestre foi a que explora o bug Log4j, o utilitário de log do Apache comumente usado por organizações em todo o mundo. Os cibercriminosos continuaram a explorar o Log4j — identificado como CVE-2021-44228, CVE-2021-45046 e vulnerabilidades relacionadas — desde que as falhas de segurança foram divulgadas em dezembro do ano passado. Em janeiro, o CTIR começou a observar um número crescente de engajamentos nos quais os hackers estavam tentando explorar o Loj4j em servidores VMware Horizon vulneráveis.
Os hackers instalaram também mineradores de criptomoedas; realizaram reconhecimento com o Bloodhound, aplicativo usado para enumerar as relações dentro do Active Directory; criaram ao menos uma conta “DomainAdmin” local; e utilizaram o protocolo de área de trabalho remota (RDP) para potencial movimento lateral.
O CTIR observou ainda um aumento na atividade de APTs entre janeiro e março, na comparação com trimestres anteriores. Isso inclui atividades associadas ao MuddyWater, grupo APT patrocinado pelo governo iraniano, ao Mustang Panda, com sede na China, responsável por implantar o PlugX RAT, e um suposto operador também ligado ao governo chinês apelidado de Deep Panda, que explora o Log4j.
Uma empresa de assistência médica foi afetada por uma atividade associada ao Deep Panda na qual o grupo hacker explorou o Log4j para implantar uma backdoor personalizado. O CTIR observou inicialmente um comando do PowerShell que baixou três arquivos adicionais — “1.bat”, “syn.exe” e “l.dll” — do servidor do invasor, que foi vinculado ao grupo por outras empresas de segurança.
A equipe do CTIR também detectou outra ameaça a uma empresa de telecomunicações. Os pesquisadores verificaram que vários dos indicadores de comprometimento (IOCs), táticas, técnicas e procedimentos descobertos estavam ligados ao Mustang Panda. O comprometimento inicial foi determinado devido a um dispositivo USB infectado por malware, conectado à rede corporativ, que posteriormente implantou o PlugX, um RAT comumente usado pelo Mustang Panda que rouba credenciais de máquinas comprometidas.