🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Analisando ataques cibernéticos recentes nos Estados Unidos, coincidindo com a celebração do Dia de Colombo

Nos últimos meses, os Estados Unidos enfrentaram um aumento nos ataques cibernéticos, com os incidentes de ransomware aumentando drasticamente de junho a outubro de 2024. Grupos proeminentes, incluindo Play, RansomHub, Lockbit, Qilin e Meow, têm como alvo setores como serviços comerciais, manufatura, TI e saúde, comprometendo mais de 800 organizações. Os principais ataques incluíram uma violação da cidade de Columbus pelo ransomware Rhysida e vazamentos de dados que afetaram o Departamento de Eleições da Virgínia e o Healthcare.gov. Além disso, a campanha de espionagem “Salt Typhoon” da China está atacando agressivamente os ISPs dos EUA, complicando ainda mais o cenário de ameaças cibernéticas. Grupos hacktivistas que defendem posições pró-russas e pró-palestinas também aumentaram seus ataques, afetando entidades governamentais e infraestruturas críticas. Este relatório destaca a necessidade de protocolos de segurança aprimorados, auditorias regulares e iniciativas de conscientização pública para mitigar os crescentes riscos cibernéticos. As principais recomendações incluem a implementação de autenticação multifatorial, treinamento frequente de funcionários e monitoramento avançado de ameaças para proteger a infraestrutura crítica do país e a confiança pública.
October 10, 2024
12
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Visão geral

Nos últimos meses, monitoramos de perto a evolução do cenário de ameaças e ataques cibernéticos direcionados aos Estados Unidos. Nossas descobertas indicam um aumento significativo nos incidentes de ransomware de junho a outubro de 2024, afetando mais de 800 vítimas em vários setores, com uma concentração notável em serviços comerciais e manufatura. O grupo de ransomware Play emergiu como o agente de ameaças mais ativo durante esse período, ao lado de outros grupos notáveis, como RansomHub, Lockbit, Qilin e Meow. Esses grupos têm como alvo principal a infraestrutura crítica, aproveitando as vulnerabilidades existentes para executar seus ataques.

Incidentes significativos, como o ataque do ransomware Rhysida na cidade de Columbus, resultaram no comprometimento de dados confidenciais, ressaltando a necessidade urgente de medidas de segurança aprimoradas. Além disso, várias violações de dados de alto perfil afetaram instituições importantes, incluindo o TIDE, o Departamento Eleitoral da Virgínia e o Healthcare.gov, com agentes de ameaças vendendo informações pessoais confidenciais e acesso ao RDP em fóruns clandestinos. Também incluímos os principais vetores de ataque inicial (IAVs) usados por esses agentes de ameaças, que incluem e-mails de phishing e a exploração de vulnerabilidades de software, permitindo o acesso não autorizado a sistemas críticos.

Além desses ataques, nosso relatório destaca a campanha de espionagem da China, apelidada de “Salt Typhoon”, que tem como alvo os provedores de serviços de Internet (ISPs) dos EUA. Também observamos atividades hacktivistas de vários grupos que defendem posições pró-palestinas e pró-russas, complicando ainda mais o cenário de ameaças cibernéticas.

Os efeitos dessas ameaças cibernéticas vão além das perdas financeiras imediatas, afetando a confiança do público e a resiliência da infraestrutura crítica em todos os setores. O monitoramento e a análise contínuos das táticas dos agentes de ameaças são essenciais para que as organizações se mantenham à frente de possíveis ataques. Ao entender esses padrões, as empresas podem implementar medidas proativas para aprimorar suas defesas e proteger informações confidenciais. Investir em segurança cibernética é crucial não apenas para proteger os ativos, mas também para manter a estabilidade da economia em geral.

Ataques cibernéticos recentes nos Estados Unidos

Ransomware:

Nos Estados Unidos, os ataques de ransomware tiveram um impacto significativo em vários setores, com mais de 800 vítimas relatadas de junho até agora. Vários grupos de ransomware estão por trás desses ataques, sendo o grupo de ransomware Play o mais proeminente. Esses ataques cibernéticos afetaram uma ampla variedade de setores, causando grandes interrupções e perdas financeiras.

Os gráficos abaixo fornecem estatísticas que ilustram os setores afetados pelo ransomware nos Estados Unidos nos últimos cinco meses. Você também encontrará dados sobre os grupos de ransomware ativos durante esse período e estatísticas mensais sobre ataques de ransomware.


Nos últimos cinco meses, os ataques de ransomware impactaram significativamente vários setores nos Estados Unidos. Os setores mais afetados incluem:

Industry affectedNumber of attacks
Business Services152
Manufacturing121
IT & Technology87
Healthcare & Pharma84
Construction57
Education44
Non-Profit40
Government31
Transport & Logistics30
Engineering25

Além desses, vários outros setores também foram afetados, incluindo varejo, finanças e bancos, imóveis, FMCG, hospitalidade, energia, petróleo e gás, agricultura, mídia, entretenimento e marketing, serviços ambientais, alimentos e bebidas, comunicação, seguros, automóveis, telecomunicações, jurídico, comércio eletrônico e exportação/importação. Isso destaca a natureza generalizada das ameaças de ransomware em vários setores.

Estatísticas específicas do setor de ransomware de junho a outubro de 2024

Os 5 principais grupos ativos de ransomware que atacaram os Estados Unidos nos últimos 5 meses:

Ransomware GroupDescription
PlayPlay ransomware, also known as PlayCrypt, is a cybercriminal group recognized for its double-extortion tactics. In the past five months, it has emerged as the most active ransomware group in the United States, targeting approximately 106 organizations. The sectors most affected by Play ransomware include Business Services, Manufacturing, Construction, Hospitality, and Transport & Logistics, among others.
RansomHubRansomhub is famous for targeting critical infrastructure and has been observed exploiting known vulnerabilities. As the second most active ransomware group in the United States over the past five months, it has attacked approximately 89 organizations. The sectors most affected by Ransomhub include Business Services, Manufacturing, IT & Technology, Healthcare & Pharma, and Transport & Logistics, among others.
LockbitLockbit is a notorious ransomware group recognized for its aggressive and widespread attacks across various industries. Utilizing advanced encryption techniques, they demand substantial ransoms from their victims. In the last five months, Lockbit has targeted approximately 44 organizations in the United States, affecting a diverse range of sectors, including Healthcare & Pharma, Finance & Banking, IT & Technology, Manufacturing, Business Services, and others.
QuilinQilin, the fourth most active ransomware group in the United States, has targeted 42 organizations over the past five months. Known for exploiting vulnerabilities and using phishing and spear-phishing emails, Qilin gains access to credentials and spreads laterally within networks. The group has affected sectors such as Business Services, Healthcare & Pharma, IT & Technology, Non-Profit, and Finance & Banking, among others.
MeowMeow, the fifth most active ransomware group in the United States, has targeted 40 organizations over the past five months. Based on the latest data, the top five affected industries by Meow ransomware are Business Services, Healthcare & Pharma, Manufacturing, IT & Technology, and Environmental Services, among others

Estatísticas dos grupos de ransomware mais ativos nos Estados Unidos de junho a outubro de 2024

Nos últimos cinco meses, os ataques de ransomware nos Estados Unidos aumentaram de 175 em junho de 2024 para 214 em julho, atingiram o pico de 217 em agosto e depois diminuíram para 199 em setembro, com 66 ataques relatados até agora em outubro de 2024.

Estatísticas mensais sobre o número de ataques de ransomware 

Cidade de Columbus é alvo do ransomware Rhysida

Em 31 de julho de 2024, o ransomware Rhysida listou a cidade de Columbus, Ohio, como vítima em seu site de vazamento. O grupo extraiu 6,5 TB de dados, incluindo logins e senhas internos de funcionários, um depósito completo de servidores que abrigavam aplicativos de serviços de emergência e acesso aos feeds das câmeras de vídeo da cidade. Rhysida alegou que 55% dos dados roubados foram vendidos, enquanto os 45% restantes foram enviados gratuitamente para o site de vazamento e não fizeram parte da venda. O ataque à cidade de Columbus apresenta riscos significativos, incluindo potencial exposição de informações confidenciais de funcionários, interrupção dos serviços de emergência e comprometimento da segurança dos sistemas de vigilância da cidade.

Postagem de Rhysida em seu site de vazamento

Violações de dados:

Esta seção destaca as recentes violações significativas de dados que afetam os Estados Unidos, com foco nos bancos de dados comprometidos das principais instituições e na venda de informações pessoais confidenciais. Esses incidentes ressaltam os sérios riscos relacionados ao acesso não autorizado a dados pessoais e financeiros, que podem levar ao roubo de identidade, fraude financeira e interrupções operacionais. Além das violações listadas abaixo, vários outros incidentes foram relatados em fóruns clandestinos, afetando organizações grandes e pequenas em vários setores nos Estados Unidos.

Vazamento de dados da TIDE NATO:

Em 7 de julho de 2024, um agente de ameaças conhecido como “natohub” postou em um fórum clandestino, alegando ter obtido um vazamento significativo de dados do TIDE (Think-Tank for Information Decision and Execution Superiority), uma organização afiliada à OTAN. O vazamento supostamente inclui 643 arquivos CSV contendo informações confidenciais, como dados de usuários, grupos de usuários, servidores físicos e virtuais e registros de eventos. Uma grande parte dos dados pertence a usuários dos Estados Unidos.

Postagem do ator de ameaças sobre TIDE NATO

Os dados publicados pelo agente da ameaça contêm dados pertencentes a usuários dos Estados Unidos

Banco de dados do Departamento de Eleições da Virgínia vazou no fórum clandestino:

Um renomado agente de ameaças conhecido como IntelBroker vazou um banco de dados pertencente ao Departamento de Eleições da Virgínia. O banco de dados contém informações confidenciais, como nomes de eleitores, endereços e afiliações partidárias.

Banco de dados do Departamento de Eleições da Virgínia publicado em um fórum clandestino

Banco de dados Healthcare.gov publicado no Underground Forum:

Um agente de ameaças conhecido como HealthDontCare foi visto publicando um banco de dados healthcare.gov. O ator alega ter explorado várias vulnerabilidades para obter acesso aos dados e está oferecendo o banco de dados gratuitamente, pois o agente da ameaça não recebeu uma taxa de extorsão. O banco de dados inclui informações de identificação pessoal (PII) de usuários, como nomes, endereços, números de telefone e endereços de e-mail.

Postagem do ator ameaçador em healthcare.gov

Dados confidenciais do Federal Bureau of Investigation (FBI) publicados em um fórum:

Um renomado ator de ameaças conhecido como komi postou no fórum clandestino, alegando ter invadido o Federal Bureau of Investigation (FBI) e obtido dados confidenciais do usuário.

Postagem do ator ameaçador no FBI

Dados vazados da Agência Nacional de Segurança:

Em 8 de julho de 2024, um agente de ameaças conhecido como Gostingr postou em um fórum clandestino, alegando possuir 1,4 GB de dados confidenciais pertencentes à Agência de Segurança Nacional (NSA) dos Estados Unidos. Os dados incluem nomes completos, endereços de e-mail, números de escritórios, números de celular pessoal e informações confidenciais. Gostingr afirma ter obtido os dados invadindo a Acuity Inc., uma empresa que trabalha diretamente com o governo dos EUA e seus aliados.

Postagem do ator ameaçador na NSA

Violação de dados do Departamento de Estado da Flórida:

Um ator de ameaças conhecido como Hikki-chan postou no fórum clandestino, oferecendo a venda de um enorme banco de dados supostamente pertencente ao Departamento de Estado da Flórida (FDOS). Alega-se que o banco de dados contém mais de 17 milhões de endereços de e-mail exclusivos e informações de identificação pessoal (PII) de aproximadamente 5 milhões de pessoas. Os dados incluem nomes completos, IDs, endereços, números de telefone e muito mais. Além disso, o banco de dados supostamente contém informações sobre 83.211 organizações associadas ao FDOS, incluindo nomes legais, nomes de DBA, números de telefone, títulos de trabalho, e-mails de trabalho, cidades e outros detalhes.

Postagem do ator ameaçador no Departamento de Estado da Flórida

Documentos internos do ADT vazaram em um fórum clandestino:

Em 8 de julho de 2024, um agente de ameaças conhecido como Abu_Al_Sahrif vazou documentos internos pertencentes à ADT, uma empresa de segurança americana, em um fórum clandestino. Os dados vazados incluem mais de 2400 arquivos relacionados ao suporte técnico da ADT e seus clientes. O mesmo ator da ameaça alegou possuir uma coleção de documentos internos pertencentes à Leidos, uma empresa de tecnologia da informação com sede nos EUA. As datas de ambos os vazamentos variam de 2020 a 2023.

Postagem do ator ameaçador no ADT

Postagem do ator ameaçador em Leidos

Venda de cartões de crédito dos EUA:

Um usuário chamado Staffyyyy no fórum da dark web postou sobre a venda de cartões de crédito de cidadãos dos EUA obtidos por meio de farejamento. Os dados incluem detalhes altamente confidenciais, como número do cartão, CardEXP, CardCVV, informações do titular do cartão (nome e sobrenome, endereço, cidade, região, CEP, país), IP do titular do cartão, e-mail, número de telefone, número do seguro social (SSN), senha e detalhes da empresa. Observamos outros agentes de ameaças vendendo dados semelhantes em fóruns e mercados clandestinos, geralmente usando os cartões de crédito roubados para transações fraudulentas, roubo de identidade e compras não autorizadas.

Venda de cartões de crédito e dados de PII em fórum clandestino

Venda do RDP Access para organizações sediadas nos EUA publicada em um fórum subterrâneo:

Vários agentes de ameaças em fóruns clandestinos foram observados vendendo acesso RDP (Remote Desktop Protocol) a várias empresas sediadas nos EUA em vários setores. Esses atores alegam ter comprometido contas de administradores locais ou vários anfitriões dentro das organizações e normalmente oferecem esse acesso em troca de pagamento.

Venda de acesso RDP em fóruns subterrâneos

Principais vetores de ataque inicial (IAVs) explorados por agentes de ameaças:

Nos últimos meses, agentes de ameaças foram observados explorando várias vulnerabilidades e configurações incorretas para obter acesso não autorizado aos sistemas. Abaixo estão alguns dos vetores de ataque inicial mais comuns:

Top Initial Attack Vectors (IAVs) Exploited by Threat Actors:Threat Description
Exploiting Misconfigured Cloud ResourcesMisconfigurations in cloud-based repositories such as GitHub, Bitbucket, and AWS S3 buckets are common targets, allowing attackers to steal sensitive code and data.
Compromising Active DirectoryAttackers frequently target Active Directory (AD) environments to escalate privileges and access sensitive systems across enterprise networks.
Misconfigured Databases and ServersPublicly exposed or misconfigured databases (e.g., MySQL) and servers (e.g., SMB, Apache Solr) provide attackers easy access to sensitive data or remote control capabilities without needing credentials
Exploiting Stealer Logs and Pastebin ScrapingThreat actors utilize stealer logs, which contain leaked credentials, to infiltrate systems. They also scrape Pastebin for leaked code, credentials, or other sensitive information that can be used to gain unauthorized access.
Brute-forcing PasswordsWeak or default passwords are often brute-forced, allowing attackers to access critical systems.
Exploiting Web Application VulnerabilitiesVulnerabilities in web applications, such as SQL injection or remote code execution, are often exploited to gain initial access.

Campanha de espionagem chinesa “Salt Typhoon” visando ISPs dos EUA:

O Salt Typhoon, possivelmente um grupo APT apoiado pelo governo chinês, distinto do APT41, é suspeito de se envolver em campanhas de espionagem contra ISPs dos EUA, usando táticas sofisticadas semelhantes a outras atividades cibernéticas patrocinadas pelo estado chinês.
A motivação por trás da campanha Salt Typhoon da China envolve espionagem para acessar dados confidenciais em redes ISP, pré-posicionamento para possíveis interrupções cibernéticas durante conflitos (especialmente em relação a Taiwan) e coleta de informações sobre vulnerabilidades de infraestrutura crítica e defesa cibernética dos EUA para exploração futura.

O foco principal são os ISPs baseados nos EUA que usam o software Versa Networks, com possíveis impactos secundários em agências governamentais, empreiteiros militares e usuários de infraestrutura crítica desses ISPs. O grupo explora vulnerabilidades de dia zero no software de gerenciamento de rede do ISP, mantém o acesso persistente usando backdoors e se move lateralmente pelos sistemas comprometidos até alvos de alto valor.

Atividades hacktivistas:

Grupos hacktivistas, como, Anonymous Egypt, CyberArmy of Russia, Alixsec, UserSec e Dark Storm Team, junto com seus aliados, têm atacado ativamente os Estados Unidos. Muitos desses grupos defendem posições pró-palestinas e pró-russas e conduziram uma série de operações cibernéticas, incluindo ataques de DDoS, desfiguração de sites e vazamento de bancos de dados que alegam pertencer a seus alvos. Esses grupos hacktivistas se concentram principalmente em entidades e organizações governamentais com laços com a Rússia e Israel, mas não limitam seus ataques a setores específicos, mas visam vários setores em todos os setores.

Grupos de hacktivistas visando entidades dos Estados Unidos

Impacto nos Estados Unidos:

  • Roubo de identidade e fraude financeira: Bancos de dados comprometidos podem levar ao acesso não autorizado a informações pessoais confidenciais, resultando em roubo de identidade e fraude financeira.
  • Interrupção operacional: Os ataques cibernéticos, especialmente DDoS e ransomware, podem interromper as operações de infraestrutura e serviços essenciais, afetando empresas e agências governamentais.
  • Violações de dados: Bancos de dados vazados e informações confidenciais podem minar a confiança do público em organizações e entidades governamentais, causando danos à reputação.
  • Riscos de segurança nacional: Atividades de espionagem direcionadas ao governo e organizações relacionadas à defesa podem levar ao roubo de informações confidenciais, colocando em risco a segurança nacional.
  • Aumento dos custos de cibersegurança: As organizações podem enfrentar custos maiores para aprimorar suas medidas de segurança cibernética em resposta às crescentes ameaças.

Impacto econômico: Interrupções causadas por incidentes cibernéticos podem resultar em perdas econômicas significativas para organizações e indústrias afetadas.

Recomendações:

  • Protocolos de segurança aprimorados: implemente medidas de segurança robustas, como autenticação multifator e criptografia, para proteger dados confidenciais.
  • Auditorias regulares de segurança: Realize auditorias frequentes e avaliações de vulnerabilidades para identificar e resolver os pontos fracos de segurança em sistemas e redes.
  • Treinamento de funcionários: Ofereça treinamento de conscientização sobre segurança cibernética aos funcionários para reconhecer tentativas de phishing e outros ataques de engenharia social.
  • Planos de resposta a incidentes: desenvolva e atualize regularmente os planos de resposta a incidentes para garantir respostas rápidas e eficazes a possíveis violações ou ataques.
  • Colaboração com agências de cibersegurança: Interaja com agências federais e locais de segurança cibernética, como a CISA, para obter orientação sobre inteligência de ameaças e melhores práticas.
  • Monitoramento e detecção de ameaças: utilize ferramentas avançadas de monitoramento para detectar atividades incomuns nas redes e responder prontamente a possíveis ameaças.
  • Campanhas de conscientização pública: Eduque o público sobre os riscos das ameaças cibernéticas e promova práticas on-line seguras para mitigar o impacto do roubo de identidade e da fraude.

Indicadores de compromisso (IOCs)

SHA256
86e17aa882c690ede284f3e445439dfe589d8f36e31cbc09d102305499d5c498
d5c2f87033a5baeeb1b5b681f2c4a156ff1c05ccd1bfdaf6eae019fc4d5320ee
3e6317229d122073f57264d6f69ae3e145decad3666ddad8173c942e80588e69

Referências

CloudSEK TRIAD
CloudSEK Threat Research and Information Analytics Division
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
May 6, 2020
min
O próximo grande alvo dos atores de ameaças: VIPs, executivos e membros do conselho
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
December 29, 2023
9
min
Comprometendo contas do Google: malwares explorando a funcionalidade não documentada do OAuth2 para sequestro de sessões
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 27, 2023
12
min
Como os agentes de ameaças estão explorando a popularidade do ChatGPT para espalhar malware por meio de contas comprometidas do Facebook, colocando mais de 500.000 pessoas em risco
Leia mais