A Nominet, registro oficial do domínio .UK e um dos maiores registros de código de país, confirmou que sua rede foi violada há duas semanas por meio de uma vulnerabilidade zero-day no VPN da Ivanti.
A empresa gerencia e opera mais de 11 milhões de nomes de domínio .uk, .co.uk e .gov.uk, além de outros domínios de topo, incluindo .cymru e .wales.
Ela também administrou o Protective Domain Name Service (PDNS) do Reino Unido em nome do National Cyber Security Centre (NCSC) do país até setembro de 2024, protegendo mais de 1.200 organizações e mais de 7 milhões de usuários finais.
A Nominet ainda está investigando o incidente, mas não encontrou evidências de backdoors implantados em seus sistemas, conforme o primeiro relato do ISPreview.
Desde que detectou atividade suspeita em sua rede, a empresa notificou as autoridades relevantes, incluindo o NCSC, e restringiu o acesso aos seus sistemas por conexões VPN.
"O ponto de entrada foi por meio do software VPN de terceiros fornecido pela Ivanti, que permite aos nossos colaboradores acessarem os sistemas remotamente," diz a Nominet em um aviso aos clientes compartilhado.
No entanto, atualmente não temos evidências de vazamento ou comprometimento de dados.
Já operamos protocolos de acesso restrito e firewalls para proteger nossos sistemas de registro.
Os sistemas de registro e gerenciamento de domínios continuam operando normalmente.
Embora a empresa não tenha compartilhado mais informações sobre o zero-day VPN utilizado no ataque, a Ivanti disse na semana passada que hackers têm explorado uma vulnerabilidade crítica zero-day no Ivanti Connect Secure (rastreada como
CVE-2025-0282
) para violar um número limitado de aparelhos de clientes.
Segundo a empresa de cibersegurança Mandiant (parte do Google Cloud), os atacantes começaram a explorar essa vulnerabilidade em meados de dezembro, utilizando o kit de ferramentas de malware customizado Spawn (vinculado a um grupo suspeito de espionagem ligado à China rastreado como UNC5337).
Eles também implantaram novos malwares Dryhook e Phasejam (atualmente não associados a nenhum grupo de ameaça) em aparelhos VPN comprometidos.
O pesquisador da Macnica, Yutaka Sejiyama, informou que mais de 3.600 aparelhos ICS estavam expostos online quando a Ivanti lançou um patch para o zero-day na quarta-feira.
Em outubro, a Ivanti lançou mais atualizações de segurança para corrigir três outros zero-days no Cloud Services Appliance (CSA) que também estavam sendo ativamente explorados em ataques.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...