5 de abril de 2021, DENVER, Colorado – O Black Lotus Labs, a divisão de inteligência sobre ameaças da Lumen Technologies (NYSE: LUMN), anunciou hoje que descobriu um conjunto de websites comprometidos utilizado anteriormente em uma série de ataques de “watering hole”.  Qualquer visitante que navegasse por um dos sites seria inadvertidamente infectado e estaria vulnerável ao ator da ameaça, que roubaria uma cópia de suas credenciais de autenticação Windows e poderia utilizá-la para se passar por ele. A atividade, descoberta apenas recentemente, foi identificada em diversos websites ucranianos e em um website canadense em 2019 e 2020.

Ataques de “watering hole” selecionam os websites injetando uma função maliciosa no código do site, que depois é executada pela máquina da vítima.  Estes tipos de ataques têm sido utilizados há anos, incluindo em um comprometimento de grande destaque detectado no website do Aeroporto Internacional de São Francisco (SFO) em abril de 2020.

Em sua análise dos ataques na Ucrânia e Canadá, o Black Lotus Labs observou uma atividade maliciosa que parecia exibir a mesma técnica do ataque ao aeroporto de São Francisco. Como resultado, a equipe agrupou a atividade no mesmo ator. 

Para interromper os ataques na Ucrânia e no Canadá, o Black Lotus Labs notificou os proprietários dos websites comprometidos sobre estes achados.

Como os ataques foram executados

No caso dos websites ucranianos, canadenses e do aeroporto de São Francisco, um JavaScript malicioso induzia os dispositivos das vítimas a enviar suas hashes de New Technology LAN Manager (NTLM) para um servidor controlado por um ator utilizando Bloco de Mensagem de Servidor (SMB), um protocolo de comunicações que permite o acesso compartilhado a recursos de sistemas, tais como impressoras e arquivos. Neste tipo de ataque, uma vez que o ator das ameaças obtém os hashes, pode, em alguns casos, decifrá-los offline para revelar nomes de usuários e senhas.

“Nossa missão é a de aproveitar a visibilidade de nossa rede para ajudar a proteger nossos clientes e manter a internet limpa, então continuaremos a monitorar este ator e este tipo de atividade de 'watering hole'”, disse Mike Benjamin, responsável pelo Black Lotus Labs. “Para proteger-se deste tipo de ataque, as organizações devem configurar seus firewalls para evitar que as comunicações saíntes baseadas em SMB deixem a rede, ou devem considerar desativar ou limitar SMB no ambiente corporativo.”

Informação Adicional:

• Para mais detalhes e uma análise profunda desta última descoberta, leia o Blog “Watering Hole” da Black Lotus Labs completo.
• Qualquer organização interessada em colaborar com o Black Lotus Labs deve entrar em contato através do Twitter @BlackLotusLabs.

Sobre a Lumen Technologies:

A Lumen é guiada por nossa crença de que a humanidade está em sua melhor forma quando a tecnologia promove a maneira como vivemos e trabalhamos.  Com cerca de 720.000 km de rotas de fibra e atendendo clientes em mais de 60 países, entregamos a plataforma mais rápida e segura para aplicações e dados, para ajudar empresas, governos e comunidades a fornecer experiências surpreendentes. Saiba mais sobre as soluções de rede, edge cloud, segurança, comunicação e colaboração da Lumen e sobre o nosso propósito de promover o progresso humano através da tecnologia em  news.lumen.com/home, LinkedIn: /lumentechnologies, Twitter: @lumentechco, Facebook: /lumentechnologies, Instagram: @lumentechnologies e YouTube: /lumentechnologies. Lumen e Lumen Technologies são marcas registradas da Lumen Technologies, LLC nos Estados Unidos. Lumen Technologies, LLC é uma afiliada de propriedade total da Lumen Technologies Inc.  

Siga-nos em nossas redes sociais da LATAM: