🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os servidores Oracle PeopleSoft estão sendo alvo de ataques contínuos de roubo de dados pela gangue de extorsão ShinyHunters, que afirma ter roubado dados de mais de 100 organizações.
PeopleSoft é um pacote de software empresarial usado por grandes organizações para gerenciar operações comerciais, como recursos humanos, folha de pagamento, finanças, gerenciamento da cadeia de suprimentos, compras e administração estudantil.
Ontem, o BleepingComputer soube de ataques generalizados de roubo de dados direcionados a instâncias de clientes Oracle PeopleSoft locais e na nuvem. Esses clientes estavam recebendo demandas de extorsão assinadas pela gangue de extorsão ShinyHunters.
Hoje, o ator da ameaça confirmou ao BleepingComputer que estava por trás dos ataques, alegando ter roubado dados de 300 instâncias em mais de 100 organizações.
ShinyHunters diz que está usando uma “cadeia de gadgets” de vulnerabilidades antigas e de dia zero para conduzir os ataques. No entanto, eles afirmam que o ataque não está funcionando em todos os sistemas e acreditam que o sucesso da exploração pode depender de como uma instância está configurada.
O BleepingComputer entrou em contato com a Oracle esta manhã para perguntar se ela estava ciente da exploração de um dia zero do Oracle PeopleSoft em ataques de roubo de dados, mas não recebeu resposta até o momento.
De acordo com o autor da ameaça, a maioria das organizações afetadas por estes ataques situa-se no setor da educação, sendo muitas delas anteriormente extorquidas pelo autor da ameaça.
Eles afirmam que seu objetivo inicial era violar um portal do FBI que administrava a PeopleSoft para "publicar uma declaração e esclarecer algumas informações erradas que estavam se espalhando". No entanto, eles disseram que o ataque não foi bem-sucedido e não conseguiram obter acesso à instância.
O ator da ameaça disse ao BleepingComputer que a Universidade de Nottingham é vítima desses ataques e que seus dados já foram publicados no site de vazamento de dados ShinyHunters. A Universidade também divulgou hoje um comunicado, reconhecendo que sofreu um incidente de segurança cibernética.
Embora a Oracle não tenha divulgado publicamente nenhuma informação sobre esses ataques, o pesquisador de segurança cibernética “Michael R” encontrou vários diretórios on-line expostos contendo ferramentas relacionadas a esse ataque.
“ShinyHunters, (ou um grupo que os personificava) expôs vários diretórios revelando o direcionamento contínuo de ambientes PeopleSoft (software de planejamento de recursos empresariais)”, postou o pesquisador.
"Também estavam visíveis materiais de preparação, incluindo agentes MeshCentral e um script de desfiguração e pulverização de credenciais."
O pesquisador compartilhou os seguintes endereços IP como IOCs relacionados a esses ataques:
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24
Alguns desses endereços IP usavam um certificado TLS que tem o nome comum de “azurenetfiles[.]net”, que é um domínio anteriormente vinculado à gangue de extorsão ShinyHunters.
Cinco dos servidores expuseram um arquivo .bash_history que forneceu algumas informações sobre os ataques, incluindo um script de shell projetado para criar uma nota de resgate chamada "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" em um servidor interno da PeopleSoft após sua violação.
Script ShinyHuntersFonte: Michael R
O script analisa o /etc/hosts para identificar sistemas relacionados ao PeopleSoft e tenta conectar-se a eles por SSH usando contas administrativas comuns do PeopleSoft e Oracle, como 'psoft', 'oracle' e 'linuxadm'.
Se a autenticação por senha falhar, o script tentará usar a autenticação baseada em chave SSH como alternativa.
Uma vez conectado, o script coloca a nota de resgate em diretórios associados aos servidores web e de aplicativos PeopleSoft.
Se você estiver executando o Oracle PeopleSoft, é altamente recomendável analisar os logs de quaisquer conexões dos endereços IP acima para determinar se você foi alvo desses ataques.
Se esses IOCs forem encontrados, as organizações deverão iniciar imediatamente a resposta ao incidente, investigar se sua instância PeopleSoft foi comprometida e considerar a remoção temporária dos servidores afetados do acesso à Internet até que o ambiente possa ser protegido e revisado.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
PeopleSoft é um pacote de software empresarial usado por grandes organizações para gerenciar operações comerciais, como recursos humanos, folha de pagamento, finanças, gerenciamento da cadeia de suprimentos, compras e administração estudantil.
Ontem, o BleepingComputer soube de ataques generalizados de roubo de dados direcionados a instâncias de clientes Oracle PeopleSoft locais e na nuvem. Esses clientes estavam recebendo demandas de extorsão assinadas pela gangue de extorsão ShinyHunters.
Hoje, o ator da ameaça confirmou ao BleepingComputer que estava por trás dos ataques, alegando ter roubado dados de 300 instâncias em mais de 100 organizações.
ShinyHunters diz que está usando uma “cadeia de gadgets” de vulnerabilidades antigas e de dia zero para conduzir os ataques. No entanto, eles afirmam que o ataque não está funcionando em todos os sistemas e acreditam que o sucesso da exploração pode depender de como uma instância está configurada.
O BleepingComputer entrou em contato com a Oracle esta manhã para perguntar se ela estava ciente da exploração de um dia zero do Oracle PeopleSoft em ataques de roubo de dados, mas não recebeu resposta até o momento.
De acordo com o autor da ameaça, a maioria das organizações afetadas por estes ataques situa-se no setor da educação, sendo muitas delas anteriormente extorquidas pelo autor da ameaça.
Eles afirmam que seu objetivo inicial era violar um portal do FBI que administrava a PeopleSoft para "publicar uma declaração e esclarecer algumas informações erradas que estavam se espalhando". No entanto, eles disseram que o ataque não foi bem-sucedido e não conseguiram obter acesso à instância.
O ator da ameaça disse ao BleepingComputer que a Universidade de Nottingham é vítima desses ataques e que seus dados já foram publicados no site de vazamento de dados ShinyHunters. A Universidade também divulgou hoje um comunicado, reconhecendo que sofreu um incidente de segurança cibernética.
Embora a Oracle não tenha divulgado publicamente nenhuma informação sobre esses ataques, o pesquisador de segurança cibernética “Michael R” encontrou vários diretórios on-line expostos contendo ferramentas relacionadas a esse ataque.
“ShinyHunters, (ou um grupo que os personificava) expôs vários diretórios revelando o direcionamento contínuo de ambientes PeopleSoft (software de planejamento de recursos empresariais)”, postou o pesquisador.
"Também estavam visíveis materiais de preparação, incluindo agentes MeshCentral e um script de desfiguração e pulverização de credenciais."
O pesquisador compartilhou os seguintes endereços IP como IOCs relacionados a esses ataques:
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24
Alguns desses endereços IP usavam um certificado TLS que tem o nome comum de “azurenetfiles[.]net”, que é um domínio anteriormente vinculado à gangue de extorsão ShinyHunters.
Cinco dos servidores expuseram um arquivo .bash_history que forneceu algumas informações sobre os ataques, incluindo um script de shell projetado para criar uma nota de resgate chamada "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" em um servidor interno da PeopleSoft após sua violação.
Script ShinyHuntersFonte: Michael R
O script analisa o /etc/hosts para identificar sistemas relacionados ao PeopleSoft e tenta conectar-se a eles por SSH usando contas administrativas comuns do PeopleSoft e Oracle, como 'psoft', 'oracle' e 'linuxadm'.
Se a autenticação por senha falhar, o script tentará usar a autenticação baseada em chave SSH como alternativa.
Uma vez conectado, o script coloca a nota de resgate em diretórios associados aos servidores web e de aplicativos PeopleSoft.
Se você estiver executando o Oracle PeopleSoft, é altamente recomendável analisar os logs de quaisquer conexões dos endereços IP acima para determinar se você foi alvo desses ataques.
Se esses IOCs forem encontrados, as organizações deverão iniciar imediatamente a resposta ao incidente, investigar se sua instância PeopleSoft foi comprometida e considerar a remoção temporária dos servidores afetados do acesso à Internet até que o ambiente possa ser protegido e revisado.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #servidores #oracle #peoplesoft #hackeados #em #ataques #de #roubo #de #dados #do #shinyhunters
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário