Um ataque iniciado dia 22 de Abril contra os firewalls XG da Sophos em todo o mundo, corrigido por um hotfix três dias depois, foi modificado e reiniciado pelos atacantes logo após a publicação desse patch, segundo informou a empresa ontem em seu blog. Embora o novo ataque tenha sido bloqueado pelas correções, é possível que a contaminação tenha atingido os devices nos quais o recurso de atualização automática não estava ativado – ou nos quais os administradores de sistemas ainda não instalaram manualmente o patch.
A Sophos informou que ao perceberem a implantação do patch os atacantes se rearmaram, modificando sua rotina de ataques e substituíram o payload original, destinado a roubo de dados e implantação de ransomware em redes corporativas protegidas pelos firewalls da Sophos.
A nova cadeia de ataques incluiu estes payloads:
- EternalBlue
- DoublePulsar
- Ragnarok
O primeiro explora o Windows SMB, para permitir a infecção de computadores na rede após o firewall ser ultrapassado; o segundo é um implante para o kernel do Windows, que garante aos hackers uma presença em computadores da rede; e o terceiro é uma variedade de ransomware.
É comum os criminosos evitarem a execução de malware nos países em que residem, presumivelmente para evitar a atenção da polícia local. Segundo o comunicado da Sophos, “uma maneira de fazer isso é usar as configurações de idioma ou localização no computador de destino para tomar a decisão. O Ragnarok JSON contém sua política de exclusão baseada em localização, que inclui a Rússia e os países da CEI, mas também Israel, Espanha e configurações de idioma representando quatro dialetos regionais usados na China (chinês simplificado, uigur, yi e tibetano)”.
Veja isso
Zero day no Sophos XG exigiu patch de emergência no sábado
Thoma Bravo conclui compra da Sophos por US$ 3,9 bilhões
A Sophos contou no comunicado de ontem que as novas armas utilizadas nos ataques falharam completamente. A empresa diz que, nos firewalls corrigidos, o hotfix removeu todos os vestígios do malware, incluindo dois arquivos de implantação de backdoor, impedindo que a nova cadeia de ataques entregue e instale ransomware.
Os hackers trabalharam aproveitando uma vulnerabilidade de zero day para atacar o servidor de banco de dados do firewall – um PostgreSQL – e ali plantar malware. Segundo a Sophos, o payload inicial era um trojan, batizado pelos especialistas da empresa de Asnarök. Ele coletava arquivos contendo nomes de usuário e senhas das contas do firewall da Sophos. Os especialistas da empresa descobriram que esses hackers deixaram dois arquivos que funcionavam como backdoor, proporcionando a eles, no futuro, um modo de controlar os dispositivos infectados.
Com agências internacionais