🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria: Inteligência do adversário
Indústria: Banca e finanças
Motivação: Hacktivismo
Região: Oriente Médio
Fonte*:
B - Normalmente confiável
2 - Provavelmente é verdade
Sumário executivo
Em 21 de maio de 2023, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu o grupo de atores de ameaças Anonymous Sudan assumindo a responsabilidade pela interrupção dos serviços do site e aplicativo do First Abu Dhabi Bank. O ataque foi conduzido sob o contexto da postura geopolítica dos Emirados Árabes Unidos e seu apoio às forças de apoio rápido. Além disso, as discussões no grupo sugerem que esses ataques de DDoS continuariam e aumentariam nos Emirados Árabes Unidos.
Entidades afetadas
O grupo de agentes de ameaças, Anonymous Sudan, compartilhou uma captura de tela do aplicativo do First Abu Dhabi Bank (FAB) em manutenção do sistema, assumindo a responsabilidade pela remoção do site e do aplicativo da FAB.
Site da FAB alvo de DDoS
Primeiro banco de Abu Dhabi: https://bankfab.com/en-ae/personal
FAB Mobile Banking: Google Play Store URL
TTP (táticas, técnicas e procedimentos)
O grupo tem três vetores principais de ataque, conforme observado até agora; dos três, os ataques de DDoS são os predominantes em comparação aos outros dois. Os vetores de ataque são:
1. Ataques de desfiguração: Desfiguração (T1491.001: desfiguração interna, T1491.002: desfiguração externa)
- O grupo hacktivista modifica sites e adiciona imagens e vídeos de sua causa com nomes e IDs de conta, o que viola a integridade da página da web e do domínio.
2. Ataques de DDoS (Negação de Serviço de Rede (T1498.001: Inundação direta de rede, T1498.002: Amplificação de reflexão)):
- O grupo hacktivista conduz ataques de DDoS às organizações para interromper ou encerrar as operações on-line das organizações-alvo, causando inconvenientes ou danos às suas operações.
- O método de ataque DDoS tem sido o vetor de ataque mais empregado pelo grupo.
- Os IOCs para os ataques de DDoS foram anexados na seção COI abaixo
3. Contas comprometidas (T1586.002: Contas de e-mail)
- Em alguns casos observados, descobriu-se que o grupo comprometeu as contas dos usuários das entidades alvo. Isso provavelmente é feito por meio de um método conhecido como preenchimento de credenciais, que envolve o uso de dados comprometidos que estão disponíveis abertamente em várias fontes em fóruns da Dark Web e canais do Telegram.
- Essa técnica envolve a injeção automática de combinações de nome de usuário e senha anteriormente violadas nas páginas de login, a fim de obter acesso não autorizado às contas de destino dos usuários da organização.
Informações sobre o Grupo
- Observou-se que o grupo “Anonymous Sudan” conduz ataques de DDoS e viola várias organizações públicas e governamentais desde janeiro de 2023.
- Eles se identificam como hacktivistas sudaneses com motivações políticas.
- O grupo foi visto participando ativamente de ataques iniciados pela Killnet, pois afirma fazer parte da Killnet.
- Vários grandes e famosos hacktivistas russos foram observados promovendo o Anonymous Sudan em seu canal de telegramas público e privado.
- Um representante do Anonymous disse que o Anonymous Sudan não é Anonymous e que não há conexão entre eles.
Foi mencionado por uma fonte que o Anonymous Sudan usa um cluster de 61 servidores pagos hospedados na Alemanha para gerar o volume de tráfego necessário para um ataque de DDoS.
Atividade e classificação do ator de ameaças
IOCs (indicadores de compromisso)
Impacto e mitigação
Impacto
- O DDoS pode deixar os sites mais vulneráveis, pois alguns recursos de segurança podem estar off-line devido ao ataque.
- A infraestrutura danificada pode causar o colapso dos serviços fornecidos pelo site.
- Os sites se tornam vulneráveis a novos ataques.
- Discrepâncias entre usuários que acessam sites e recursos afetados
Mitigação
- Implante balanceadores de carga para distribuir o tráfego.
- Habilite mecanismos de limitação de taxa.
- Configure firewalls e roteadores para filtrar e bloquear o tráfego.
- Utilize redes de entrega de conteúdo (CDNs) para distribuir o tráfego.
- Implemente tecnologias e algoritmos de detecção de bots para identificar solicitações web em grande escala de botnets empregadas por atores para realizar ataques de DDOS
Referências
