A gangue REvil pode ter desaparecido, mas consequências de seus ataques continuam se espalhando inclusive entre cibercriminosos parceiros. Google lança programa de proteção avançada para usuários de alto perfil. A plataforma Twitch sofre o que pode ser considerado um dos piores ataques já vistos até hoje.
O que você vai ler:
- Hacker rouba “todas as informações relevantes” da Twitch
- Cibercriminosos ainda exploram vulnerabilidades existentes há quase uma década
- Google lança programa de proteção a jornalistas, ativistas e outros usuários de alto perfil
- Gangue REvil fez de outros cibercriminosos vítimas sem que eles soubessem
Hacker rouba “todas as informações relevantes” da Twitch
Um invasor afirma ter saqueado “todas as informações relevantes da Twitch”, incluindo a totalidade de seu código-fonte e dados de pagamento de usuários.
De acordo com o Video Games Chronicle (VGC), que divulgou em primeira mão a notícia do ataque à plataforma interativa de streaming, um usuário anônimo postou um link para um torrent de 125 GB no 4chan na quarta-feira, dia 06/10. Quem baixasse o arquivo teria em mãos dados extremamente valiosos do serviço altamente popular entre gamers e influencers dos mais variados setores.
E, ao que tudo indica, o ataque não é surpresa nenhuma: em agosto, a Twitch comunicou que “bots, ataques de ódio e outras formas de assédio visando criadores marginalizados” estavam em atividade na plataforma. O ataque poderia ser uma evolução dessas ameaças, suspeitam.
Ainda de acordo com o VGC, o arquivo com os dados roubados contém:
- Todo o código-fonte da Twitch, com histórico de comentários “desde os seus primórdios”;
- Relatórios de pagamento para creators, referentes a 2019;
- Dados de dispositivos de usuários da Twitch;
- SDKs proprietários e serviços internos da AWS usados pela Twitch;
- “Todas as outras propriedades que a Twitch possui”, incluindo IGDB e CurseForge;
- Ferramentas internas da “equipe vermelha” da Twitch (projetadas para melhorar a segurança da plataforma);
Um usuário da Twitch também afirmou que o banco de dados roubados inclui senhas criptografadas. Porém, dados pessoais de usuários aparentemente não foram incluídos no arquivo de 125 GB, o que não exclui a possibilidade de que tal vazamento esteja no radar de cibercriminosos.
Cibercriminosos ainda exploram vulnerabilidades existentes há quase uma década
Algumas das vulnerabilidades de segurança cibernética mais comumente exploradas por criminosos cibernéticos existem há anos – e cibercriminosos ainda podem tirar vantagem delas para alavancar a distribuição ransomware simplesmente porque as atualizações de segurança não estão sendo aplicadas pelos usuários.
Em uma análise recente, pesquisadores alertam para os riscos da negligência com atualizações e patches de segurança de CVEs antigas.
A mais antiga das cinco principais vulnerabilidades detalhadas na análise é a CVE-2012-1723, uma vulnerabilidade no componente Java Runtime Environment (JRE) no Oracle Java SE 7, que foi detalhada em 2012. De acordo com os pesquisadores, ele tem sido comumente usado para distribuir o ransomware Urausy. Este ransomware é mais básico dos que o que estão presentes no mercado, mas algumas organizações permaneceram vulneráveis e correm riscos de prejuízos significativos porque não aplicaram os patches de segurança relevantes.
Duas outras vulnerabilidades comuns detalhadas por pesquisadores são de 2013. CVE-2013-0431 é uma vulnerabilidade no JRE explorada pelo ransomware Reveton, enquanto a CVE-2013-1493 é uma falha no Oracle Java que é visada pelo ransomware Exxroute. Em ambos os casos, os patches para remediar as vulnerabilidades estão disponíveis há mais de oito anos.
A CVE-2018-12808, também listada, é uma vulnerabilidade que existe há três anos no Adobe Acrobat, usada para distribuir ransomware por meio de e-mails de phishing e arquivos PDF maliciosos. Tanto o ransomware Ryuk quanto o que muitos acreditam ser seu sucessor, o Conti ransomware, são conhecidos por usar esse método de ataque.
Por fim, a vulnerabilidade mais recente da lista é a Adobe CVE-2019-1458, uma vulnerabilidade de escalonamento de privilégios no Windows que surgiu em dezembro de 2019 e tem sido comumente usada pelo grupo de ransomware NetWalker. Como nas outras vulnerabilidades detalhadas pelos pesquisadores, os cibercriminosos podem lançar ataques bem-sucedidos porque a atualização de segurança não foi aplicada por inúmeras empresas e usuários, mesmo os patches já estando disponíveis.
Google lança programa de proteção a jornalistas, ativistas e outros usuários de alto perfil
Na sexta-feira, o Google anunciou que forneceria uma série de novos recursos de cibersegurança para usuários de alto risco – isto é, jornalistas, ativistas, figuras públicas, etc.. O anúncio vem um dia depois de a empresas emitir um alerta ae cerca de 14.000 usuários do Gmail dque eles haviam sido alvos do grupo APT28 – um grupo de cibercriminosos associados ao governo russo.
Em uma postagem, o Google esclarece que um número crescente de ataques cibernéticos tem como alvo indivíduos e grupos de alto perfil, o que forçou a gigante da tecnologia a tomar medidas extras de proteção e criar uma equipe “dedicada a detectar e combater os criminosos cibernéticos mais sofisticados do mundo”.
Além de divulgar o Programa de Proteção Avançada (APP), que os usuários podem ativar para aumentar sua proteção contra certos ataques, o Google anunciou uma parceria com organizações de todo o mundo para fornecer chaves de segurança gratuitas para mais de 10.000 usuários de alto risco ao longo de 2021.
O Google também anunciou novas parcerias com a Fundação Internacional para Sistemas Eleitorais (IFES), com a ONU Mulheres e com a organização sem fins lucrativos Defending Digital Campaigns (DDC).
No próximo ano, o Google disse que planeja expandir seu trabalho com o grupo “por meio de uma contribuição contínua das chaves e materiais educacionais do Titan Security, com o objetivo de treinar usuários de alto risco nas medidas mais eficazes de segurança”.
Gangue REvil fez de outros cibercriminosos vítimas sem que eles soubessem
Cibercriminosos estão lentamente percebendo que os operadores do ransomware REvil podem ter “sequestrado” negociações de resgate a fim de impedir o pagamentos de afiliados.
O modelo de negócio RaaS (ransomware-as-a-service) envolve um desenvolvedor, que cria o malware do tipo ransomware e configura a infraestrutura, e afiliados recrutados para violar e criptografar os dados as vítimas – um esquema altamente lucrativo, visto que distribui o ataque ao longo de uma cadeia de produção e todos podem ficar com uma fatia da recompensa. As partes afiliadas geralmente recebem a parcela maior (normalmente 70-80%) dos milhões de dólares em bitcoin exigidos pelos resgates.
Porém, ao que tudo indica, um esquema criptográfico que lhes permite descriptografar qualquer sistema bloqueado pelo ransomware REvil está possibilitando aos operadores da gangue deixarem seus parceiros fora do negócio e roubarem todo o dinheiro do resgate.
Desde pelo menos 2020, vários agentes de ameaça em fóruns clandestinos alegaram que os operadores de RaaS estavam assumindo as negociações com as vítimas em bate-papos secretos, sem o conhecimento dos afiliados.
O boato se tornou mais frequente após o súbito desligamento do ransomware DarkSide e a saída do Avaddon, que, ao desaparacerem, liberaram “chaves-mestra” de descriptografia para suas vítimas.
Em julho deste ano, foi descoberto que os afiliados não eram os únicos que podiam descriptografar os sistemas bloqueados com a amostra de ransomware REvil, pois os operadores REvil tinham uma chave-mestra similar às dos demais grupos “aposentados”, que podia ser usada para restaurar arquivos criptografados – ou seja, passando por cima dos esquemas de usuários afiliados.
Detalhes dessa operação suspeita foram divulgados pela Bleeping Computer, na íntegra.
Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf!