9 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a initial-access.
O initial access broker TA584 foi observado usando o Tsundere Bot em conjunto com o RAT XWorm para obter acesso inicial a redes, ação que pode facilitar ataques de ransomware. O relatório não fornece IoCs, número de vítimas nem detalhes técnicos das campanhas.
Relatos indicam exploração ativa do CVE-2025-8088 em WinRAR por múltiplos atores — estatais e criminosos financeiros — para obtenção de acesso inicial e entrega de payloads maliciosos. Falta confirmação pública sobre versões vulneráveis, CVSS e patch do fornecedor.
Autoridades e pesquisadores expuseram o broker “r1z”, que vendia acessos VPN e ferramentas para intrusões a compradores de ransomware. Infiltração de um agente e repetidas falhas de OPSEC (reuso de e‑mails, handles e domínios) permitiram ligar o handle a Feras Albashiti e mapear parte da infraestrutura usada nas vendas.
Relatório descreve retorno do Gootloader com arquivos ZIP malformados, JScript de persistência e técnicas de 'hashbusting' que tornam a detecção por assinaturas difícil. O malware atua como initial access broker, abrindo caminho para campanhas de ransomware.
Um homem de origem jordaniana declarou‑se culpado nos EUA por operar como access broker, vendendo acesso a pelo menos 50 redes corporativas. Parte das transações envolveu um agente undercover. Relatórios não especificam vetores de intrusão nem empresas afetadas.
Pesquisadores reportam que o ator UAT‑8837, ligado à China, explorou um zero‑day no Sitecore para obter acesso inicial a sistemas de infraestrutura crítica na América do Norte. A campanha combina exploração de bugs conhecidos e o zero‑day; o relatório confirma exploração ativa, mas não divulga CVE, versões afetadas ou IOCs públicos.
O CastleLoader, loader sofisticado que opera predominantemente em memória, tem sido usado desde 2025 como vetor inicial contra agências governamentais e infraestrutura crítica. A técnica documentada inclui uso de instaladores Inno Setup, AutoIt e process hollowing via jsc.exe, complicando detecção por EDRs fracos.
Relatos indicam que a vulnerabilidade React2Shell (CVE-2025-55182) foi usada por um grupo de ransomware para obter acesso inicial e iniciar a cifragem de arquivos em menos de um minuto. A cobertura confirma exploração ativa, mas não divulga escopo de vítimas nem IOCs detalhados.
Analistas identificaram que o grupo Storm-0249 evoluiu para initial access broker e usa DLL sideloading em processos de EDR assinados (ex.: SentinelAgentWorker.exe) para permanecer furtivo, estabelecer C2 e preparar acesso para afiliados de ransomware. Recomenda-se análise comportamental e revisão de exclusões do EDR.