A segurança no ambiente digital enfrenta um novo desafio com a descoberta da operação global conhecida como EMERALDWHALE, revelada pela Sysdig Threat Research Team (TRT). Com um olhar atento sobre redes cibernéticas, a equipe identificou uma brecha significativa que resultou no roubo de mais de 15 mil credenciais de serviços em nuvem, explorando arquivos de configuração do Git que estavam expostos. Embora as investigações tenham apontado inicialmente para provedores de serviços em nuvem e de e-mail, o verdadeiro propósito dessa operação parece estar ligado a atividades maliciosas como phishing e spam. Os dados obtidos, ao serem vendidos, poderiam render centenas de dólares por conta, além de lucros adicionais advindos da comercialização de listas de alvos em diversas plataformas online.
uma descoberta que ilustra vulnerabilidades na segurança digital
A operação EMERALDWHALE foi revelada quando a Sysdig TRT monitorava um sistema de honeypot na nuvem e detectou uma chamada anômala ListBuckets proveniente de uma conta comprometida. Essa atividade indicou o uso de um bucket S3, chamado ‘s3simplisitter’, que, embora não pertencesse à Sysdig, estava visivelmente acessível ao público. Durante a investigação, foi observado que esse bucket armazenava mais de um terabyte de dados, incluindo credenciais comprometidas e registros de atividades. Tal evidência reforçou a presença de um ataque multifacetado que incluía a coleta de informações através da raspagem de arquivos de configuração do Git, arquivos de ambiente Laravel e outros dados disponíveis na web.
exploração de arquivos de configuração do git expostos
Entre os meses de agosto e setembro, a EMERALDWHALE realizou extensas varreduras em busca de servidores que contivessem arquivos de configuração de repositórios do Git expostos. O escaneamento revelou vastas áreas de dados suscetíveis espalhados pela internet, facilitado pelo uso de ferramentas de código aberto como httpx. O Git, um sistema de controle de versão amplamente adotado, depende fortemente de arquivos de configuração. Quando o diretório .git se torna exposto, frequentemente devido a má configuração de servidores web, os atacantes têm a oportunidade de explorar dados valiosos sobre o repositório, bem como acessar informações sensíveis de projetos. A EMERALDWHALE aproveitou essas más configurações para extrair, coletar e monetizar as informações vazadas.
ferramentas e motivos que dirigem a operação
A operação EMERALDWHALE utilizou ferramentas cruciais que são frequentemente comercializadas em mercados clandestinos. Duas dessas ferramentas, identificadas durante a investigação, incluem o MZR V2 (MIZARU) e o Seyzo-v2. O MZR V2 é composto por scripts em Python e shell, projetados para explorar IPs com o intuito de identificar arquivos .git/config mal configurados, validando assim credenciais em potencial. Uma vez que as credenciais são roubadas, elas são empregadas no clonamento de repositórios, tanto públicos quanto privados, em busca de mais informações sensíveis. Por sua vez, o Seyzo-v2 emprega uma metodologia semelhante, mas realiza buscas mais rigorosas por credenciais provenientes de provedores de SMTP, SMS e serviços em nuvem.
Os motivos por trás desses ataques espelham uma tendência crescente na coleta de credenciais—um empreendimento lucrativo e de baixo risco para os cibercriminosos. Com ferramentas e orientações amplamente disponíveis, os atacantes podem automatizar suas ações, minimizando assim a exposição direta ou riscos pessoais. A operação EMERALDWHALE destaca um desafio comum na era digital: vazamentos de credenciais, que se apresentam como uma preocupação importante, agravada por configurações inadequadas e pela dependência de configurações de segurança padrão.
reconhecendo a necessidade de uma gestão de exposição abrangente
É crucial reconhecer que a gestão de segredos, embora essencial, deve ser parte de estratégias de segurança em camadas, o que enfatiza a necessidade urgente de uma gestão abrangente de exposição e varreduras de vulnerabilidade. Ao realizar auditorias internas e externas minuciosas, os guardiões de dados sensíveis podem se preparar melhor para proteger suas informações de infiltrações. A operação EMERALDWHALE, apesar de sua natureza não sofisticada, conseguiu roubar mais de 15 mil credenciais simplesmente explorando equívocos de segurança existentes, especialmente arquivos de configuração do Git que estavam expostos. Esses incidentes reiteram as vulnerabilidades presentes em sistemas atuais, onde repositórios privados, apesar de oferecerem uma proteção ilusória, podem se transformar em pontos de entrada indesejados para atividades maliciosas.
Por fim, para aqueles interessados em aprender mais sobre segurança cibernética e a nuvem, vale a pena conferir o Cyber Security & Cloud Expo, que acontece em Amsterdam, Califórnia e Londres. O evento abrangente será realizado em conjunto com outros eventos líderes, incluindo BlockX, Digital Transformation Week, IoT Tech Expo, e AI & Big Data Expo. A tecnologia continua a evoluir, e com isso, a necessidade de uma segurança robusta se torna cada vez mais evidente. Que fiquem atentos e preparados, pois o mundo digital é uma selva!