Table of Contents
Emeraldwhale: 10 Razões Por Trás da Campanha Massiva que Rouba Credenciais do Git
Pesquisadores de cibersegurança identificaram a campanha Emeraldwhale, que ataca configurações expostas do Git. O objetivo é roubar credenciais, clonar repositórios privados e extrair informações confidenciais do código-fonte.
Essa atividade tem coletado mais de 10.000 repositórios privados. Os dados foram armazenados em um bucket da Amazon S3 pertencente a uma vítima anterior, contendo pelo menos 15.000 credenciais roubadas. O bucket já foi desativado pela Amazon.
As credenciais roubadas pertencem a diversos serviços, inclusive provedores de serviços em nuvem (CSPs) e serviços de e-mail. O relatório da Sysdig sugere que phishing e spam são os principais objetivos do roubo de credenciais.
A operação criminosa é multifacetada. Embora não seja sofisticada, utiliza ferramentas privadas para roubar credenciais, extrair arquivos de configuração do Git e dados brutos da web. Até o momento, não foi atribuída a nenhum ator ou grupo de ameaça conhecido.
O Emeraldwhale direciona servidores com arquivos de configuração expostos. Com um conjunto robusto de ferramentas, a campanha permite a descoberta de hosts relevantes e a validação de credenciais roubadas.
Esses tokens obtidos são usados para clonar repositórios, tanto públicos quanto privados, e capturar credenciais incorporadas no código-fonte. As informações coletadas são finalmente carregadas no bucket S3.
Dois programas proeminentes, MZR V2 e Seyzo-v2, são utilizados para alcançar os objetivos malignos. Esses softwares, vendidos em marketplaces subterrâneos, aceitam listas de IPs para digitalização e exploração de repositórios Git expostos.
As listas de IPs são geralmente compiladas usando motores de busca como Google Dorks e Shodan, além de utilitários de digitalização como MASSCAN.
A análise da Sysdig revelou uma lista com mais de 67.000 URLs do caminho “/.git/config” expostas, sendo oferecida para venda via Telegram por $100. Isso indica um mercado ativo para arquivos de configuração do Git.
O EMERALDWHALE também atacou arquivos de ambiente Laravel expostos, que incluem credenciais sensíveis. Os arquivos .env contêm informações valiosas, como dados de provedores de serviços em nuvem e bancos de dados.
Com o aumento do mercado subterrâneo de credenciais, principalmente para serviços de nuvem, os pesquisadores enfatizam que a gestão de segredos sozinha não é suficiente para proteger um ambiente contra esses ataques.
Ferramentas Privadas Usadas na Campanha Emeraldwhale
A campanha Emeraldwhale se destaca pelo uso de ferramentas específicas que circulam no mercado clandestino. Essas ferramentas têm como objetivo explorar configurações vulneráveis, facilitando o roubo de credenciais. As principais ferramentas identificadas incluem:
- MZR V2: Utilizada para escanear e identificar configurações vulneráveis em repositórios Git expostos.
- Seyzo-v2: Permite escanear endereços IP, ajudando a localizar pontos vulneráveis nas configurações do Git.
Essas ferramentas trabalham em conjunto para escanear listas de IPs, identificando configurações expostas do Git. Com isso, os atacantes conseguem desviar credenciais e clonar repositórios privados, representando uma ameaça significativa à segurança das informações.
Como Proteger Repositórios Git Contra a Campanha Emeraldwhale
Para proteger repositórios Git contra a campanha Emeraldwhale, que explora vulnerabilidades em arquivos de configuração do Git, adote as seguintes medidas de segurança:
1. Verifique e Limpe Arquivos de Configuração
- Certifique-se de que não há credenciais ou informações sensíveis nos arquivos de configuração do Git.
- Use comandos como
git config --list
para verificar as configurações e remover dados sensíveis.
2. Use Chaves SSH Seguras
- Utilize chaves SSH para autenticação, ao invés de senhas.
- As chaves devem estar protegidas por frases de senha fortes.
- Use gerenciadores de chaves seguros para aumentar a proteção.
3. Configure o Git para Ignorar Arquivos Sensíveis
- Utilize o arquivo
.gitignore
para prevenir a inclusão de arquivos sensíveis, como configurações ou chaves.
4. Implemente Políticas de Segurança
- Estabeleça políticas rigorosas de acesso aos repositórios.
- Inclua autenticação de dois fatores (2FA) e permissões baseadas em papéis.
- Realize monitoramento regular de acessos.
5. Realize Auditorias Regulares
- Execute auditorias frequentes nos repositórios para detectar vulnerabilidades.
- Utilize ferramentas de segurança e scanners de vulnerabilidades para auxiliar.
6. Educação e Treinamento
- Eduque desenvolvedores sobre as melhores práticas de segurança no Git.
- Encoraje a revisão frequente de arquivos de configuração.
7. Uso de Ferramentas de Segurança
- Implemente ferramentas como
git-secrets
egit-crypt
para evitar a exposição de credenciais sensíveis.
Seguindo essas medidas, você poderá reduzir significativamente o risco de suas credenciais serem comprometidas por campanhas como a Emeraldwhale.
#Emeraldwhale #Cibersegurança #RouboDeCredenciais #GitExposto #Tecnologia #SegurançaDigital #Alegon