.
em resumo Um malware que destrói o software de detecção e resposta de endpoint (EDR) foi detectado em cena e, considerando que está implantando o RansomHub, ele pode se tornar prolífico em breve.
Descoberto por analistas da Sophos após um ataque fracassado e apelidado de EDRKillShifter, o malware aproveita drivers legítimos, mas vulneráveis, em máquinas Windows para entregar ransomware aos alvos.
Ambas as variantes testadas pelos analistas da Sophos fazem uso de drivers vulneráveis conhecidos com provas de conceito disponíveis publicamente, com o objetivo final de desligar o software de detecção e resposta de endpoint e resgatar a máquina da vítima. A tática de usar vulnerabilidades de driver conhecidas publicamente é comum para malware que mata EDR, disse a Sophos.
RansomHub – que apareceu no começo deste ano e rapidamente se tornou uma das ferramentas mais amplamente usadas por agentes de ransomware – indica que o EDRKillShifter já pode estar à beira de se tornar uma ameaça séria. Mas uma olhada dentro do malware indica que ele não é tão perigoso quanto parece à primeira vista, desde que precauções adequadas sejam tomadas.
A pesquisa da Sophos não menciona a rota de entrada para invasores que usam o EDRKIllShifter, mas observa que “esse ataque só é possível se o invasor aumentar os privilégios que controla ou se puder obter direitos de administrador”.
Uma vez que um invasor tenha as permissões necessárias, ele tem que executar o malware via linha de comando e tem que digitar uma senha para iniciá-lo. Nesse ponto, as coisas começam a ficar um pouco mais complicadas – o EDRShiftKiller ofusca sua atividade com código automodificável e vários assassinos EDR diferentes, que são escritos em Go e também ofuscados.
Se suas tentativas iniciais de se incorporar à memória forem bem-sucedidas, o EDRShiftKiller então implanta uma das duas cargas úteis que criam um novo serviço para o driver comprometido, forçando-o a entrar em um loop infinito que mata qualquer um de seus alvos.
Dado que um agente de ameaça primeiro tem que obter acesso à sua máquina alvo com privilégios elevados para executar o EDRShiftKiller e implantar ransomware, a Sophos recomenda que a melhor prevenção contra isso seja praticar uma boa higiene de função de segurança do Windows. Isso significa separar claramente os usuários dos administradores, verificar para garantir que o software EDR tenha proteção contra adulteração habilitada e manter os sistemas e drivers atualizados.
No entanto, é uma boa ideia ficar de olho nessa ameaça, dadas suas estreitas associações com um ransomware tão prolífico.
Vulnerabilidades críticas da semana: SolarWinds novamente?
Tendo acabado de passar por uma semana de Patch Tuesday, não temos muitas vulnerabilidades para relatar que ainda não tenham sido cobertas.
Dito isso, havia um grande bug a ser relatado na forma de uma vulnerabilidade do SolarWinds (CVE-2024-28986) que o provedor de software empresarial divulgou na semana passada, mas que agora se acredita estar sob exploração ativa.
A vulnerabilidade crítica, com uma pontuação CSVV de 9,8 em gravidade, pode ser encontrada no SolarWinds Web Help Desk. É uma vulnerabilidade de execução remota de código de desserialização Java que, se explorada, permite que um invasor execute comandos na máquina host.
“Embora tenha sido relatado como uma vulnerabilidade não autenticada, a SolarWinds não conseguiu reproduzi-la sem autenticação após testes completos”, afirmou o fornecedor. “No entanto, por excesso de cautela, recomendamos que todos os clientes do Web Help Desk apliquem o patch, que já está disponível.”
Sites públicos do NetSuite podem vazar dados
Organizações que executam o NetSuite SuiteCommerce ou SiteBuilder estão sendo solicitadas a verificar suas configurações, pois milhares de sites externos foram descobertos como passíveis de exploração para vazamento de informações de identificação pessoal (PII) de clientes.
Aaron Costello, chefe de pesquisa de segurança de SaaS na AppOmni, escreveu em uma postagem de blog na semana passada que uma configuração de controle de acesso ruim, combinada com o uso impróprio de APIs de registro e pesquisa, permitirá que um usuário não autenticado extraia dados.
Há muitas ressalvas aqui — como a necessidade de o invasor saber quais tipos de registros de clientes (CRTs) estão em uso — mas o conselho continua o mesmo: verifique suas configurações do NetSuite, reforce o controle de acesso aos CRTs e bloqueie os sites públicos.
“Eu recomendo fortemente que os administradores comecem a avaliar os controles de acesso no nível de campo e identifiquem quais campos, se houver, precisam ser expostos”, acrescentou Costello.
Mineradores de ransomware encontram ouro (empresa de mineração)
Uma empresa australiana de mineração de ouro admitiu ter sido atingida por um ataque de ransomware, mas compartilhou poucas outras informações além de reconhecer que o incidente ocorreu.
A Evolution Mining emitiu um comunicado [PDF] do incidente da semana passada, explicando que acreditava que o incidente havia sido contido e que não haveria nenhum impacto material em suas operações.
“O incidente foi gerenciado proativamente com foco na proteção da saúde, segurança e privacidade das pessoas, juntamente com os sistemas e dados da empresa”, observou a Evolution.
Além de mencionar que seus sistemas de TI foram afetados, nenhum detalhe foi compartilhado.
O relatório da Evolution é bem menos detalhado do que um ataque a outra operação de mineração australiana que ocorreu em março. A Northern Minerals Limited sofreu um “incidente cibernético” que levou ao roubo de detalhes pessoais de seus funcionários, incluindo escaneamentos de seus passaportes.
Dados referentes a pesquisas, projetos de mineração e outros detalhes corporativos também foram roubados durante o ataque à Northern Minerals e publicados on-line pela gangue de ransomware BianLian em junho.
Empresa de saúde sediada em Idaho tem meio milhão de registros de pacientes roubados
A Kootenai Health, sediada em Idaho, admitiu um incidente não especificado que resultou no roubo de dados pessoais de quase meio milhão de pacientes após uma violação no final de fevereiro.
Kootenai escreveu em uma carta enviada às vítimas que nome, data de nascimento, Previdência Social, documentos de identidade e dados médicos podem ter sido roubados – mas não houve menção a ransomware.
Dito isso, várias fontes relataram que a gangue de ransomware 3AM estava por trás do ataque. A equipe de língua russa 3AM, que apareceu pela primeira vez no ano passado, teria publicado cerca de 22 GB de dados roubados do Kootenai em seu site de vazamento.
Considere isso como outro aviso para manter seus sistemas atualizados e seus defensores em alerta máximo se você trabalha no setor de saúde.
Cinco variantes de malware que deixaram sua marca no segundo trimestre
A ReliaQuest publicou uma lista de cinco variantes de malware que, segundo ela, tiveram um grande impacto no segundo trimestre de 2024. Surpreendentemente, os infostealers continuam populares.
O infostealer do Windows LummaC2 liderou a lista após o que a ReliaQuest indicou ser um trimestre de crescimento considerável – em comparação com o primeiro trimestre de 2024, as listagens do mercado russo para o LummaC2 aumentaram em 51,9%.
O próximo na lista é todo e qualquer tipo de infostealer baseado em Rust, que a ReliaQuest afirma estar se tornando cada vez mais popular devido ao Rust ser rápido, fácil de codificar para escapar de software antivírus e compatível com várias plataformas.
O trojan de acesso remoto SocGholish, uma ferramenta popular há muito tempo, continua assim graças a uma nova mudança de infecção que utiliza Python para estabelecer persistência, e o AsyncRAT também vem ganhando popularidade.
O malware backdoor Oyster distribuído por sites que hospedam software supostamente legítimo infectado com malware fica na retaguarda. A ReliaQuest observou que o Oyster – também conhecido como Broomstick e CleanUpLoader – foi vinculado a algumas das principais gangues de malware russas, incluindo o Wizard Spider.
Certifique-se de que seus sistemas de segurança estejam protegidos contra os vários truques usados por essas famílias de malware, que são discutidos no relatório ReliaQuest. ®
.
