Firewalls Sophos desatualizados podem estar contaminados

A Sophos publicou um hotfix depois dos ataques iniciados em 22 de Abril, mas ele só atualizou os dispositivos ajustados para update automático
Da Redação
22/05/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um ataque iniciado dia 22 de Abril contra os firewalls XG da Sophos em todo o mundo, corrigido por um hotfix três dias depois, foi modificado e reiniciado pelos atacantes logo após a publicação desse patch, segundo informou a empresa ontem em seu blog. Embora o novo ataque tenha sido bloqueado pelas correções, é possível que a contaminação tenha atingido os devices nos quais o recurso de atualização automática não estava ativado – ou nos quais os administradores de sistemas ainda não instalaram manualmente o patch.

A Sophos informou que ao perceberem a implantação do patch os atacantes se rearmaram, modificando sua rotina de ataques e substituíram o payload original, destinado a roubo de dados e implantação de ransomware em redes corporativas protegidas pelos firewalls da Sophos.

A nova cadeia de ataques incluiu estes payloads:

  • EternalBlue 
  • DoublePulsar
  • Ragnarok 

O primeiro explora o Windows SMB, para permitir a infecção de computadores na rede após o firewall ser ultrapassado; o segundo é um implante para o kernel do Windows, que garante aos hackers uma presença em computadores da rede; e o terceiro é uma variedade de ransomware.

É comum os criminosos evitarem a execução de malware nos países em que residem, presumivelmente para evitar a atenção da polícia local. Segundo o comunicado da Sophos, “uma maneira de fazer isso é usar as configurações de idioma ou localização no computador de destino para tomar a decisão. O Ragnarok JSON contém sua política de exclusão baseada em localização, que inclui a Rússia e os países da CEI, mas também Israel, Espanha e configurações de idioma representando quatro dialetos regionais usados ​​na China (chinês simplificado, uigur, yi e tibetano)”.

Veja isso
Zero day no Sophos XG exigiu patch de emergência no sábado
Thoma Bravo conclui compra da Sophos por US$ 3,9 bilhões

A Sophos contou no comunicado de ontem que as novas armas utilizadas nos ataques falharam completamente. A empresa diz que, nos firewalls corrigidos, o hotfix removeu todos os vestígios do malware, incluindo dois arquivos de implantação de backdoor, impedindo que a nova cadeia de ataques entregue e instale ransomware.

Os hackers trabalharam aproveitando uma vulnerabilidade de zero day para atacar o servidor de banco de dados do firewall – um PostgreSQL – e ali plantar malware. Segundo a Sophos, o payload inicial era um trojan, batizado pelos especialistas da empresa de Asnarök. Ele coletava arquivos contendo nomes de usuário e senhas das contas do firewall da Sophos. Os especialistas da empresa descobriram que esses hackers deixaram dois arquivos que funcionavam como backdoor, proporcionando a eles, no futuro, um modo de controlar os dispositivos infectados.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest