O RansomHub é o grupo de ransomware para com o qual observamos mais incidentes (20 registros), atacando setores variados como manufatura, financeiro, transporte e agricultura, e frequentemente lidando com grandes volumes de dados. Ele é ransomware oferecido como serviço (RaaS), o que significa que ele pode ser “alugado” por atacantes menos habilidosos. Mas o ponto principal aqui é que ele aproveita falhas específicas e bem conhecidas em sistemas para ganhar acesso inicial e realizar seus ataques, principalmente CVE-2020-1472 (ZeroLogon) e CVE-2023-3519 (Citrix NetScaler ADC/Gateway), para comprometer sistemas. Note aqui quando essas vulnerabilidades foram descobertas e descritas, especificamente 2020 e 2023. Vamos analisar essas vulnerabilidades especificamente:
CVE-2020-1472 (ZeroLogon)
- Ano da descoberta: 2020
- CVSS: 10.0 (Crítico)
- EPSS: 0.97 (97% de chance de exploração ativa em 25/3/2025).
- Há solução para a vulnerabilidade?
CVE-2023-3519 (Citrix NetScaler ADC/Gateway),
- Ano da descoberta: 2023
- CVSS: 9.8 (Crítico)
- EPSS: 0.95 (95% de chance de exploração ativa em 25/3/2025).
- Há solução para a vulnerabilidade?
- Sim. A Citrix lançou atualizações de firmware em 11 de julho de 2023 para mitigar essa vulnerabilidade (veja o boletim da Citrix).
Opinião [ CYLO ] Cybersecurity Team:
Uma vez que as vulnerabilidades CVE-2020-1472 (ZeroLogon) e CVE-2023-3519 (Citrix NetScaler ADC/Gateway) já foram corrigidas há um bom tempo, por que os ataques do grupo de RansomHub continuam tendo sucesso ? Em nossa opinião, o sucesso contínuo dos ataques do grupo RansomHub, mesmo após as correções das vulnerabilidades CVE-2020-1472 e CVE-2023, pode ser explicado por uma combinação de fatores técnicos, operacionais e humanos. Embora as correções para ambas as vulnerabilidades tenham sido lançadas há um tempo (CVE-2020-1472 ZeroLogon em agosto de 2020 e CVE-2023-3519 em julho de 2023), muitas organizações ainda não aplicaram os patches ou não atualizaram seus sistemas. Mas o sucesso do RansomHub não se deve apenas à exploração dessas vulnerabilidades, mas à sua capacidade de explorar falhas humanas, sistemas desatualizados e a falta de práticas robustas de cibersegurança. Mesmo com patches disponíveis, a janela de oportunidade para os atacantes permanece aberta enquanto as organizações não implementarem uma estratégia de segurança abrangente.
O nosso time de inteligência em cibersegurança pode auxiliar a sua empresa a se defender de ataques desse tipo com implementação de controles, processos bem definidos e com gestão de vulnerabilidades. CONHEÇA NOSSOS SERVIÇOS.
Se você estiver com uma emergência, nós podemos te ajudar:
Fale com um especialista da [ CYLO ]
No nosso próximo post analisaremos o Babuk / Babuk2
