Uma análise de fóruns criminais da dark web revela em quais vulnerabilidades conhecidas cibercriminosos estão mais interessados

Excertos de mensagens trocadas entre cibercriminosos em fóruns clandestinos da dark web sugere em quais vulnerabilidades e exposições comuns (Common Vulnerabilities and Expositions, ou CVEs) grupos de ameaça mais podem estar interessados para mobilizar ataques.

Essas pistas, por sua vez, oferecem a especialistas de cibersegurança informações valiosas sobre as superfícies de ataque e possíveis brechas as organizações e usuários mais devem tomar cuidado.

Pesquisa realizada em fóruns na dark web revela as CVEs mais comentadas

Entre janeiro de 2020 e março de 2021, a Cognyte realizou uma análise de conversas trocadas entre distintos cibercriminosos em fóruns clandestinos. Os pesquisadores examinaram 15 fóruns de crimes cibernéticos nesse interim e compilaram seus achados em um relatório divulgado recentemente.

Nesse relatório, os pesquisadores destacam quais são as CVEs mencionados com mais frequência pelos criminosos e tentam determinar qual vulnerabilidades esses invasores podem explorar em seguida.

Porém, ressalvam:

“Nossas descobertas revelaram que não existe 100% de correlação entre os dois parâmetros, uma vez que as cinco principais CVEs que receberam o maior número de postagens não são exatamente aquelas que foram mencionados no maior número de fóruns da Dark Web examinados”, disse o relatório . “No entanto, ainda é o bastante entender quais CVEs eram populares entre os atores de ameaças na Dark Web durante o período examinado.”

De todo modo, os pesquisadores descobriram que ataques populares que exploraram vulnerabilidades comuns – como os casos ZeroLogon, SMBGhost e BlueKeep – atendem aos parâmetros estabelecidos, isto é: três das vulnerabilidades mais discutidas entre os criminosos no período de janeiro de 2020 e março de 2021 foram alvo de ataques.

As CVEs mais populares entre os cibercriminosos

Ao todos, seis CVEs se destacam entre os comentários de cibecriminosos nos fóruns investigados:

• CVE-2020-1472 (também conhecido como ZeroLogon)
• CVE-2020-0796 (também conhecido como SMBGhost)
• CVE-2019-19781
• CVE-2019-0708 (também conhecido como BlueKeep)
• CVE-2017-11882
• CVE-2017-09-19

“A maioria dos CVEs nesta lista foi explorada por grupos patrocinados pelo Estado, por gangues de ransomware e por criminosos avulsos em campanhas mundiais contra diferentes setores”, disse o relatório.

Notavelmente, todos os CVEs focados por agentes de ameaça são antigos, o que significa que a correção e mitigação básicas poderiam ter interrompido muitos ataques antes mesmo de eles terem início.

O relatório acrescentou que a CVE-2012-0158, existente há 9 anos, foi explorado por agentes de ameaça durante a pandemia do COVID-19 em 2020, o que “indica que as organizações não estão corrigindo seus sistemas e não estão mantendo uma postura de segurança resiliente”.

Microsoft, uma das principais responsáveis por CVEs ativamente exploradas

A Microsoft se distingue negativamente no relatório como responsável por cinco das seis vulnerabilidades mais populares em fóruns da dark web, descobriram os pesquisadores. A empresa também teve dificuldade em fazer com que os usuários corrigissem essas vulnerabilidades.

A ZeroLogon é um excelente exemplo. Esta falha no software da Microsoft permite que os cibercriminosos acessem os controladores de domínio e violem todos os serviços de identidade do Active Directory – uma implementação de serviço de diretório que armazena informações sobre objetos em rede e disponibiliza essas informações a usuários e administradores de tal rede.

Contudo, a correção do ZeroLogon era tão lenta que a Microsoft anunciou, em janeiro de 2021, que começaria a bloquear o acesso ao domínio do Active Directory para sistemas sem patch com um “modo de aplicação”.

Em março de 2020, a Microsoft corrigiu a vulnerabilidade número dois da lista, CVE-2020-0796, mas, em outubro, 100.000 sistemas Windows ainda estavam vulneráveis.

Diferentes grupos de diferentes países têm suas preferências particulares

Por fim, os analistas alertaram o interesse pelas CVEs variavam a depender do idioma falado no fórum. A CVE preferida pelos fóruns em russo foi a CVE-2019-19781, por exemplo; já os fóruns chineses estavam falando muito sobre a CVE-2020-0796.

Houve um empate entre CVE-2020-0688 e CVE-2019-19781 nos círculos de agentes de ameaças que falam inglês, e os fóruns turcos se concentraram na CVE-2019-6340.

Por fim, os pesquisadores acrescentam, para fins de contexto, que cerca de metade dos fóruns monitorados falam russo.

Sua empresa está protegida contra ameaças que exploram vulnerabilidades comuns? Conheça as soluções da Compugraf e saiba como podemos te ajudar a identificar e mitigar essas ameaças!