São Paulo — InkDesign News — Uma falha de memória no servidor do malware DanaBot, identificada como “DanaBleed”, permitiu que pesquisadores de segurança investigassem a operação de malware como serviço (MaaS) por quase três anos, revelando severas lacunas de segurança.
Vetor de ataque
A vulnerabilidade, que permitiu a exposição inadvertida de dados sensíveis dos servidores de comando e controle (C2) do DanaBot, foi introduzida no protocolo C2 durante uma atualização em 2022. Essa falha possibilitou o acesso a informações como chaves privadas, detalhes de vítimas e estatísticas de infecções, essencialmente um vazamento de dados críticos devido à má configuração e à falta de segmentação.
Impacto e resposta
O impacto dessa brecha vem sendo significativo, pois pôs em evidência não apenas as operações do DanaBot, ativo desde 2018, mas também a fragilidade dos grupos cibernéticos diante de suas próprias falhas operacionais. As autoridades de segurança dos EUA, em colaboração com agências internacionais, fecharam servidores de ataque e indiciaram 16 membros do grupo, evidenciando a resposta ativa a essas vulnerabilidades. As estatísticas de infecções e os dados dos atacantes expostos oferecem aos especialistas uma oportunidade inestimável para entender melhor as táticas, técnicas e procedimentos (TTPs) empregados:
“Para os defensores, esses vazamentos são verdadeiros tesouros.
(“For defenders, these leaks are treasure troves.”)— Ensar Seker, CISO, SOCRadar
Análise e recomendações
Pesquisadores destacam que a proliferação de falhas operacionais entre grupos cibernéticos demonstra uma crescente falta de maturidade em suas práticas de segurança. Quebras de operações de segurança (OpSec) têm ocorrido devido a implantações apressadas ou disputas internas. Organizações podem mitigar riscos semelhantes melhorando suas próprias práticas de segurança e monitorando vazamentos como os do DanaBot. Seker recomenda que “as organizações rastreiem essas falhas através de seus programas de inteligência de ameaças cibernéticas” para garantir uma defesa mais robusta e reativa.
Com a contínua evolução das ameaças cibernéticas, o setor pode esperar um aumento nas operações de segurança preventivas baseadas em tais vazamentos. A colaboração internacional deve se intensificar, melhorando a coordenação para abordar essas vulnerabilidades sistêmicas entre criminosos e defensores.
Fonte: (Dark Reading – Segurança Cibernética)
