Vulnerabilidades zero-day são postas à venda por milhões na dark web
Vulnerabilidades que outrora eram “luxo” de espiões cibernéticos agora podem ser compradas ou alugadas na dark web – desde que o cibercriminoso consiga desembolsar milhões de dólares. Brasil monta comissão para combater fraude online. Empresa sofre retaliação por não informar vulnerabilidade.
O que você vai ler:
- Vulnerabilidades zero-day são vendidas na dark web por milhões de dólares
- 90% dos líderes de TI buscam terceirizar projetos em 2022
- Empresa demora 1 ano para revelar descoberta de vulnerabilidade da Palo Alto Networks
- Brasil monta comissão de combate à fraude online
Vulnerabilidades zero-day são vendidas na dark web por milhões de dólares
Vulnerabilidades zero-day geralmente são exploradas por operações de hackers que contam com mais recursos financeiros, comumente financiados pelo Estado. Porém, análises feitas por pesquisadores de segurança cibernética mostram como há cada vez mais conversas em fóruns da dark web sobre o mercado dessas vulnerabilidades.
“Certos grupos cibercriminosos de alto perfil (leia-se: gangues de ransomware) acumularam fortunas incríveis nos últimos anos e agora podem competir com os compradores tradicionais de exploits zero-day”, disseram os pesquisadores.
Vulnerabilidades como essa podem custar até milhões de dólares, mas esse é um preço acessível para um grupo de ransomware que ganha milhões com cada ataque de ransomware bem-sucedido. Além disso, eles podem facilmente recuperar o investimento se a vulnerabilidade funcionar como pretendido, fornecendo um meio confiável de infiltração de redes.
Mas há outra forma de ganhar dinheiro com vulnerabilidades sendo explorada: colocando a vulnerabilidade nas mãos de criminosos cibernéticos menos sofisticados – algo conhecido como “exploit-as-a-service“.
Em vez de vendê-la, o criminoso que a descobriu pode alugá-la para outras pessoas. Essa alternativa possibilita fazer dinheiro mais rápido do que se eles passassem pelo complexo processo para vender o acesso, além de que continuariam a ganhar dinheiro com isso por mais tempo. De todo modo, a alternativa não exclui a possibilidade de, eventualmente, também venderem a vulnerabilidade.
90% dos líderes de TI buscam terceirizar projetos em 2022
Uma nova pesquisa com 400 tomadores de decisão do setor de TI descobriu que 95% afirmam que o impacto da pandemia acelerou as prioridades de transformação nos negócios. O 2022 Insight Intelligent Technology Report apresentou as respostas de líderes de TI baseados na América do Norte a uma pesquisa conduzida em setembro.
Mais da metade dos entrevistados citaram a segurança como o principal investimento que planejam priorizar ao modernizar sua base de TI. Quase 40% disseram que a infraestrutura em nuvem e os serviços gerenciados de plataforma compartilhada seriam priorizados, enquanto outros 37% disseram que a análise de dados seria o foco. Outros mencionaram software como serviço e monitoramento de nuvem como prioridades.
Mas, surpreendentemente, 61% dos líderes de TI disseram que os desafios internos seriam o maior obstáculo para a modernização de sua infraestrutura, seguidos por questões de segurança e privacidade de dados, prioridades concorrentes e custos iniciais.
Muitos também citaram a escassez de talentos na área de TI e 52% disseram que sua equipe sofre desgaste. Mais de 44% disseram que havia uma lacuna em habilidades e talentos devido às demandas do mercado.
Para cobrir essa defasagem, quase todos os entrevistados disseram que planejam contar com fornecedores, com 90% dizendo que esperam transferir mais projetos para terceiros no próximo ano.
Empresa demora 1 ano para revelar descoberta de vulnerabilidade da Palo Alto Networks
A Randori, uma empresa de segurança localizada nos Estados Unidos, gerou polêmica na comunidade de cibersegurança por ter esperado um ano antes de divulgar a descoberta de um bug crítico de transbordamento de dados por meio do GlobalProtect VPN, da Palo Alto Networks.
O zero-day – que tem uma classificação de gravidade de 9,8 e foi relatado pela primeira vez pela mídia norte-americana – permite a execução remota de código não-autenticado em instalações de produtos vulneráveis.
O problema afeta várias versões do PAN-OS – software da Palo Alto – e a empresa disse que encontrou várias instâncias vulneráveis expostas em mais de 70.000 ativos. O software é usado por várias empresas da Fortune 500, bem como por outras empresas globais.
Aaron Portnoy, cientista da Randori, explicou que, em outubro de 2020, sua equipe foi encarregada de pesquisar vulnerabilidades com o GlobalProtect Portal VPN. Em novembro de 2020, a equipe descobriu o CVE-2021-3064, começou a exploração autorizada de clientes e entregou a vulnerabilidade com sucesso a um de seus clientes, como forma de teste.
Mas, de acordo com o cronograma fornecido, eles não notificaram a Palo Alto Networks até meados de outubro de 2021.
Randori não respondeu aos questionamentos sobre o porquê de ter esperado 12 meses para revelar a vulnerabilidade. Alguns questionaram a decisão de Randori de conduzir o exercício e outros questionaram, ainda, se eles seguraram a notificação do problema para divulgar seu trabalho e seus negócios.
Porém, alguns vieram em defesa de Randori, argumentando que suas ações são comuns e que, como não houve vítimas associadas ao caso, não há motivo para retalização.
Brasil monta comissão de combate à fraude online
O governo brasileiro criou uma comissão especial para combater a fraude eletrônica. Criada pelo Ministério da Justiça no âmbito do Conselho Nacional de Defesa do Consumidor, a comissão terá representantes do órgão regulador antitruste Cade, além da Confederação Nacional do Comércio, órgãos de defesa do consumidor dos estados de São Paulo, Tocantins e Porto Alegre, da Defensoria Pública Federal e do Banco Central.
Essa comissão segue a recente criação de um grupo de trabalho, que está fornecendo uma avaliação do atual cenário de fraude online. O grupo conta com a participação de órgãos como a Federação Brasileira de Bancos (Febraban) e o Banco Central.
De acordo com o Ministério da Justiça, a comissão publicará um relatório final listando propostas para o combate à fraude online. O grupo também deve se reunir com a Autoridade Nacional de Proteção de Dados para traçar o melhor caminho para o combate à fraude.
As ações devem se desdobrar ao longo de 2022.
Confira as soluções de segurança da Compugraf e saiba como podemos manter sua empresa protegida!
- Published in Noticias
Pesquisa elenca as CVEs “favoritas” dos cibercriminosos na dark web
Uma análise de fóruns criminais da dark web revela em quais vulnerabilidades conhecidas cibercriminosos estão mais interessados
Excertos de mensagens trocadas entre cibercriminosos em fóruns clandestinos da dark web sugere em quais vulnerabilidades e exposições comuns (Common Vulnerabilities and Expositions, ou CVEs) grupos de ameaça mais podem estar interessados para mobilizar ataques.
Essas pistas, por sua vez, oferecem a especialistas de cibersegurança informações valiosas sobre as superfícies de ataque e possíveis brechas as organizações e usuários mais devem tomar cuidado.
Pesquisa realizada em fóruns na dark web revela as CVEs mais comentadas
Entre janeiro de 2020 e março de 2021, a Cognyte realizou uma análise de conversas trocadas entre distintos cibercriminosos em fóruns clandestinos. Os pesquisadores examinaram 15 fóruns de crimes cibernéticos nesse interim e compilaram seus achados em um relatório divulgado recentemente.
Nesse relatório, os pesquisadores destacam quais são as CVEs mencionados com mais frequência pelos criminosos e tentam determinar qual vulnerabilidades esses invasores podem explorar em seguida.
Porém, ressalvam:
“Nossas descobertas revelaram que não existe 100% de correlação entre os dois parâmetros, uma vez que as cinco principais CVEs que receberam o maior número de postagens não são exatamente aquelas que foram mencionados no maior número de fóruns da Dark Web examinados”, disse o relatório . “No entanto, ainda é o bastante entender quais CVEs eram populares entre os atores de ameaças na Dark Web durante o período examinado.”
De todo modo, os pesquisadores descobriram que ataques populares que exploraram vulnerabilidades comuns – como os casos ZeroLogon, SMBGhost e BlueKeep – atendem aos parâmetros estabelecidos, isto é: três das vulnerabilidades mais discutidas entre os criminosos no período de janeiro de 2020 e março de 2021 foram alvo de ataques.
As CVEs mais populares entre os cibercriminosos
Ao todos, seis CVEs se destacam entre os comentários de cibecriminosos nos fóruns investigados:
- CVE-2020-1472 (também conhecido como ZeroLogon)
- CVE-2020-0796 (também conhecido como SMBGhost)
- CVE-2019-19781
- CVE-2019-0708 (também conhecido como BlueKeep)
- CVE-2017-11882
- CVE-2017-09-19
“A maioria dos CVEs nesta lista foi explorada por grupos patrocinados pelo Estado, por gangues de ransomware e por criminosos avulsos em campanhas mundiais contra diferentes setores”, disse o relatório.
Notavelmente, todos os CVEs focados por agentes de ameaça são antigos, o que significa que a correção e mitigação básicas poderiam ter interrompido muitos ataques antes mesmo de eles terem início.
O relatório acrescentou que a CVE-2012-0158, existente há 9 anos, foi explorado por agentes de ameaça durante a pandemia do COVID-19 em 2020, o que “indica que as organizações não estão corrigindo seus sistemas e não estão mantendo uma postura de segurança resiliente”.
Microsoft, uma das principais responsáveis por CVEs ativamente exploradas
A Microsoft se distingue negativamente no relatório como responsável por cinco das seis vulnerabilidades mais populares em fóruns da dark web, descobriram os pesquisadores. A empresa também teve dificuldade em fazer com que os usuários corrigissem essas vulnerabilidades.
A ZeroLogon é um excelente exemplo. Esta falha no software da Microsoft permite que os cibercriminosos acessem os controladores de domínio e violem todos os serviços de identidade do Active Directory – uma implementação de serviço de diretório que armazena informações sobre objetos em rede e disponibiliza essas informações a usuários e administradores de tal rede.
Contudo, a correção do ZeroLogon era tão lenta que a Microsoft anunciou, em janeiro de 2021, que começaria a bloquear o acesso ao domínio do Active Directory para sistemas sem patch com um “modo de aplicação”.
Em março de 2020, a Microsoft corrigiu a vulnerabilidade número dois da lista, CVE-2020-0796, mas, em outubro, 100.000 sistemas Windows ainda estavam vulneráveis.
Diferentes grupos de diferentes países têm suas preferências particulares
Por fim, os analistas alertaram o interesse pelas CVEs variavam a depender do idioma falado no fórum. A CVE preferida pelos fóruns em russo foi a CVE-2019-19781, por exemplo; já os fóruns chineses estavam falando muito sobre a CVE-2020-0796.
Houve um empate entre CVE-2020-0688 e CVE-2019-19781 nos círculos de agentes de ameaças que falam inglês, e os fóruns turcos se concentraram na CVE-2019-6340.
Por fim, os pesquisadores acrescentam, para fins de contexto, que cerca de metade dos fóruns monitorados falam russo.
Sua empresa está protegida contra ameaças que exploram vulnerabilidades comuns? Conheça as soluções da Compugraf e saiba como podemos te ajudar a identificar e mitigar essas ameaças!
- Published in Noticias