Categoria: Inteligência do adversárioIndústria: MúltiploMotivação: FinanceiroRegião: EUAFonte*: F4

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Acesso à instância Acronis Cloud usada por 43 empresas sediadas nos EUA à venda.
• As empresas são clientes (principalmente escritórios de advocacia) da Decypher Technologies.

• O acesso pode revelar práticas comerciais e IP.
• Possíveis aquisições de contas.

• Implemente uma política de senha forte.
• Ative o MFA.
• Monitore anomalias nas contas de usuários que possam indicar possíveis aquisições de contas.

Análise e atribuição

Informações do Post

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando acesso a uma instância de acesso direto ao armazenamento usada por 43 empresas.
• O ator menciona que o portal de armazenamento pertence à Decypher Technologies e provavelmente é uma instância de nuvem de backup da Acronis.
• Todas as empresas são clientes da Decypher Technologies com sede nos EUA.
• A maioria das entidades comprometidas são escritórios de advocacia.
• O portal está sendo usado para armazenar documentos confidenciais e o ator afirma que mais de 300 computadores estão conectados à instância em nuvem.
• O ator também menciona que a 2FA não estava habilitada na instância da nuvem.
• Como o ator está disposto a incluir um intermediário na transação, pode-se inferir que o anúncio é legítimo.

[caption id="attachment_21536" align="alignnone” width="848"] Anúncio do ator ameaçador no fórum [/caption]

Lista de entidades comprometidas mencionadas na postagem

AAA Storage Academy Services, LLC R&H Mechanical Lamp the Cause Aspen Insulation Robert Singer assoc (RSA) Aspen Valley Land Trust Babson Farms Fundação Ryobi Balcomb & Green Black, Fundação Betsy Telluride Blanton, Bill e Cindy Chamberlin, David Timbershokuala Coastal Risk Consulting Colorado Equities Rampart Energy Company Critical Consultores de cuidados e pulmões (CCPC) decifram Aspen Rosebud 110 Double Black Evan Zucker Setterfield e Bright Flame Out Fire Protection Haymax Hotels Timbers Bachelor Gulch High Mark Communications Hudson Family Law Lumiere Telluride Iberian Rug Company Judy's Inc Matsuhisa Aspen Keelty Construction Knapp Office Meisel, Lee Kyle Felty Legal Graphic Works Matsuhisa Denver Men in Development Mason Morse

Informações das amostras

• As amostras fornecidas, embora sem evidências diretas, nos ajudam a avaliar com confiança moderada se uma instância do Acronis Backup Storage foi comprometida.
• O agente da ameaça, com o acesso, está equipado com privilégios de somente leitura e tem acesso total às mais de 300 estações de trabalho.
• Os escritórios de advocacia (mencionados na lista de empresas acima) ocupam a maior parte do armazenamento na nuvem.
• O maior tamanho do arquivo de backup é de 17 TB.

Leia também Acesso ao Web Shell ao provedor de serviços de nuvem e TI baseado nos Emirados Árabes Unidos, Bamboozle

Informações de uma fonte confidencial

Uma fonte confidencial em contato com o agente da ameaça constatou que:

• Uma senha fraca foi definida no Acronis Backup, que poderia ter sido aproveitada.
• Os dados armazenados na nuvem de backup incluem arquivos de casos e evidências (atribuídos aos escritórios de advocacia).

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde setembro de 2022ReputaçãoBaixa (Várias reclamações e preocupações no fórum) Status atualActiveHistoryUnknownRatingF4 (F: Confiabilidade desconhecida; 4: Possivelmente verdadeiro)

Impacto e mitigação

ImpactoMitigação

• O acesso poderia ser usado para obter acesso inicial à infraestrutura da empresa.
• Senhas comumente usadas ou senhas fracas podem levar a ataques de força bruta.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.
• Essas informações podem ser agregadas para serem posteriormente vendidas como vazamentos de leads/documentos em fóruns de crimes cibernéticos, para obter ganhos financeiros.

• Implemente uma política de senha forte e habilite a MFA (autenticação multifator) em todos os logins.
• Corrija endpoints vulneráveis e exploráveis.
• Não armazene segredos não criptografados em repositórios.git.
• Não compartilhe seus segredos sem criptografia em sistemas de mensagens como o Slack ou o WhatsApp.
• Monitore anomalias nas contas dos usuários, o que pode indicar possíveis aquisições de contas.
• Escaneie repositórios para identificar credenciais e segredos expostos.
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Leia também 30 milhões de registros da suposta violação da T-Mobile à venda

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• https://www.usaspending.gov/recipient/ab953031-52f2-227f-5b17-7f2443f997ce-C/latest

Apêndice

[caption id="attachment_21537" align="alignnone” width="903"] Descrição do backup de cada estação de trabalho conectada [/caption] [caption id="attachment_21538" align="alignnone” width="801"] Faça backup de informações de unidades de armazenamento na nuvem [/caption]