Categoria: Inteligência do adversárioIndústria: MúltiploMotivação: Relações públicasRegião: GlobalFonte*: B2

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• O grupo Blackhat YDIO tem como alvo organizações em cinco grandes economias emergentes, sob operação BRICS (#OpBRICS).
• Os dados vazados contêm configurações, credenciais e PII do roteador.

• Os dados vazados do roteador podem ser usados para realizar novos ataques.
• As PII podem ser usadas para fins maliciosos, incluindo engenharia social, roubo de identidade e phishing.

• Monitore anomalias nas contas de usuários, indicando possíveis aquisições de contas.
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Análise e atribuição

Perfil do ator de ameaças

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma nova operação chamada #OpBRICS lançada pelo grupo de atores de ameaças Seus dados são nossos (YDIO) contra as seguintes cinco grandes economias emergentes:
  • A República Federativa do Brasil
  • A Federação Russa
  • A República da Índia
  • A República Popular da China
  • A República da África do Sul sob o nome de operação BRICS [#OpBRICS].

[caption id="attachment_20052" align="aligncenter” width="810"] Conta do Twitter do YDIO [/caption]

Sobre YDIO

• O grupo YDIO é uma equipe de blackhats especializada na recuperação de dados de empresas e governos em todo o mundo.
• Anteriormente operando sob o nome de “Dark Lulz”, o grupo se renomeou como Your Data is Ours (YDIO) em 1º de julho de 2022.

[caption id="attachment_20053" align="aligncenter” width="764"] Descrição do grupo YDIO [/caption]

• O grupo administra seu próprio fórum, que foi registrado em 30 de junho de 2022.
• Inicialmente, grupos de ameaças recém-formados com membros limitados se juntaram ao fórum.
• Posteriormente, atores e grupos de ameaças proeminentes se juntaram ao fórum.
• Membros proeminentes do grupo YDIO são:
  • Morango Lulz 4 Ever
  • Lulzforce
  • Floco de neve
  • PucksReturn/ DarkArks414 [Contas suspensas]
• O grupo tem uma conta no Twitter registrada em dezembro de 2015 e um canal de telegramas com muitos seguidores.
• A seleção do alvo é feita criando enquetes e pedindo que assinantes/seguidores participem.
• A tabela abaixo contém a lista de entidades violadas pelo grupo.

Nour Communications - SaudidiRoma Acqua Park - BrasilBharti Airtel - Suprema Corte da ÍndiaDK Wireless - África do Sul/Instituto Russo de Ciência Espacial IBEE, também conhecida como Honeylink TechnologyCountryOnline - ISP russoVárias instalações médicas chinesas Airtel - IndiaQtec - RússiaJiangsu Real Estate Investment - ChinaInstituição Nacional de Pesquisa Espacial - Brasil/Instituto de Pesquisa Nuclear da Rússia, Bielorrússia, Telearus Estação de Metrô ComaiIMS - ÍndiaISA CTEEP - Brazil Power Grid Corporation of India4 de julho, Firework Show Nettlinx Limited, Índia

Canais oficiais de comunicação do YDIO

Fórum: https://ydio.net/Telegram:https://t.me/yourdataisoursTwitter:https://twitter.com/OurDatasYouTube:https://www.youtube.com/channel/UCQXMcfdNKD2grRQptI19aIw

Técnicas, táticas e procedimentos (TTPs)

• Os TTPs do grupo incluem comprometer os produtos da Cambium Networks, especialmente o rádio sem fio “ePMP™ Force 300-25” da Cambium Networks.
• A Cambium Networks é uma fornecedora líder global de infraestrutura de malha sem fio para banda larga e Wi-Fi comerciais e residenciais.
• As entidades comprometidas com o uso dos produtos Cambium incluem as seguintes:
• Power Grid Corporation da Índia.
• A estação de metrô AIIMS.
• Nettlinx India Limited.
• DK Wireless, África do Sul. (referências ao câmbio na configuração vazada do roteador)

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde julho de 2022ReputationHigh (popular nos canais do Telegram, Twitter e fóruns) TTPs visando produtos vulneráveis da Cambium História anteriormente envolvida na violação de organizações proeminentes do BRICS (Brasil, Rússia, Índia, China, África do Sul) Classificação B2 (B: Normalmente confiável 2: Provavelmente verdadeira)

Impacto e mitigação

ImpactoMitigação

• A escalada dessas campanhas em nível global pode levar a consequências atrozes para os governos e entidades da região do BRICS.
• Os dados expostos forneceriam aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados.

• Corrija endpoints vulneráveis e exploráveis.
• Monitore anomalias em contas de usuários e aplicativos web expostos à Internet, indicando possíveis aquisições de contas.
• Monitore anomalias no banco de dados e no servidor
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

Logotipo da YDIO