{"id":19595,"date":"2022-06-03T18:59:39","date_gmt":"2022-06-03T21:59:39","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19595"},"modified":"2022-06-03T18:59:40","modified_gmt":"2022-06-03T21:59:40","slug":"gangue-de-ransomware-em-ataques-baseados-em-firmware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/gangue-de-ransomware-em-ataques-baseados-em-firmware\/","title":{"rendered":"Gangue de ransomware em ataques baseados em firmware"},"content":{"rendered":"\n

Vazamentos da Conti revelam o interesse da gangue de ransomware em ataques baseados em firmware<\/span><\/h1>\n

\u00a0<\/p>\n

Uma an\u00e1lise de <\/span>chats vazados<\/span> do not\u00f3rio <\/span>grupo de ransomware Conti<\/span> no in\u00edcio deste ano revelou que o sindicato est\u00e1 trabalhando em um conjunto de t\u00e9cnicas de ataque de firmware que podem oferecer um caminho para acessar c\u00f3digo privilegiado em dispositivos comprometidos.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO controle sobre o firmware d\u00e1 aos invasores poderes praticamente incompar\u00e1veis, tanto para causar danos diretamente quanto para permitir outros objetivos estrat\u00e9gicos de longo prazo\u201d, informou a empresa de seguran\u00e7a de firmware e hardware Eclypsium <\/span>em<\/span> um relat\u00f3rio compartilhado com o The Hacker News.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cTal n\u00edvel de acesso permitiria que um advers\u00e1rio causasse danos irrepar\u00e1veis \u200b\u200ba um sistema ou estabele\u00e7a uma persist\u00eancia cont\u00ednua que \u00e9 virtualmente invis\u00edvel para o sistema operacional\u201d.<\/span><\/p>\n

\u00a0<\/p>\n

Especificamente, isso inclui ataques direcionados a microcontroladores embarcados, como o Intel <\/span>Management Engine<\/span> ( <\/span>ME<\/span> ), um componente privilegiado que faz parte dos chipsets de processadores da empresa e que pode ignorar completamente o sistema operacional.<\/span><\/p>\n

\u00a0<\/p>\n

Vale a pena notar que a raz\u00e3o para este foco em evolu\u00e7\u00e3o n\u00e3o \u00e9 porque existem novas vulnerabilidades de seguran\u00e7a nos chipsets Intel, mas sim aposta na possibilidade de que “as organiza\u00e7\u00f5es n\u00e3o atualizem o firmware do chipset com a mesma regularidade com que fazem o software ou mesmo o Firmware do sistema UEFI\/BIOS.”<\/span><\/p>\n

\u00a0<\/p>\n

\"Grupo<\/a><\/div>\n
\u00a0<\/div>\n
\n

As conversas entre os membros do Conti, que vazaram depois que o grupo prometeu seu apoio \u00e0 R\u00fassia na invas\u00e3o da Ucr\u00e2nia por este \u00faltimo, lan\u00e7aram luz sobre as tentativas do sindicato de explorar vulnerabilidades relacionadas ao firmware ME e prote\u00e7\u00e3o contra grava\u00e7\u00e3o do BIOS.<\/span><\/p>\n

\u00a0<\/p>\n

Isso implicou encontrar comandos e vulnerabilidades n\u00e3o documentados na interface ME, alcan\u00e7ar a execu\u00e7\u00e3o de c\u00f3digo no ME para acessar e reescrever a mem\u00f3ria flash SPI e descartar os <\/span>implantes no n\u00edvel do System Management Mode ( <\/span>SMM ), que poderiam ser aproveitados para at\u00e9 modificar o kernel.<\/span><\/p>\n

\u00a0<\/p>\n

\"Grupo<\/a><\/div>\n

\u00a0<\/p>\n

A pesquisa finalmente se manifestou na forma de um c\u00f3digo de prova de conceito (PoC) em junho de 2021 que pode obter execu\u00e7\u00e3o de c\u00f3digo SMM ao obter controle sobre o ME ap\u00f3s obter acesso inicial ao host por meio de vetores tradicionais como phishing, malware ou um comprometimento da cadeia de suprimentos que mostram os bate-papos vazados.<\/p>\n

\u00a0<\/p>\n

\u201cAo mudar o foco para o Intel ME, bem como direcionar dispositivos nos quais o BIOS \u00e9 protegido contra grava\u00e7\u00e3o, os invasores podem facilmente encontrar muito mais dispositivos de destino dispon\u00edveis\u201d, informaram os pesquisadores.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Isso n\u00e3o \u00e9 tudo. O controle sobre o firmware tamb\u00e9m pode ser explorado para obter persist\u00eancia de longo prazo, evitar solu\u00e7\u00f5es de seguran\u00e7a e causar danos irrepar\u00e1veis \u200b\u200bao sistema, permitindo que o agente da amea\u00e7a monte <\/span>ataques destrutivos<\/span> como testemunhado durante a guerra russo-ucraniana.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cOs vazamentos do Conti expuseram uma mudan\u00e7a estrat\u00e9gica que afasta ainda mais os ataques de firmware dos olhos curiosos das ferramentas de seguran\u00e7a tradicionais\u201d, informaram os pesquisadores.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cA mudan\u00e7a para o firmware ME oferece aos invasores um conjunto muito maior de v\u00edtimas em potencial para ataques e um novo caminho para alcan\u00e7ar o c\u00f3digo e os modos de execu\u00e7\u00e3o mais privilegiados dispon\u00edveis em sistemas modernos\u201d.<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/06\/conti-leaks-reveal-ransomware-gangs.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Vazamentos da Conti revelam o interesse da gangue de ransomware em ataques baseados em firmware \u00a0 Uma an\u00e1lise de chats vazados do not\u00f3rio grupo de ransomware Conti no in\u00edcio deste ano revelou que o sindicato est\u00e1 trabalhando em um conjunto de t\u00e9cnicas de ataque de firmware que podem oferecer um caminho para acessar c\u00f3digo privilegiado […]<\/p>\n","protected":false},"author":2,"featured_media":19596,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19595","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19595","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19595"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19595\/revisions"}],"predecessor-version":[{"id":19599,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19595\/revisions\/19599"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19596"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19595"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19595"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19595"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}