CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Firewalls Sophos desatualizados podem estar contaminados

Da Redação
22/05/2020

Um ataque iniciado dia 22 de Abril contra os firewalls XG da Sophos em todo o mundo, corrigido por um hotfix três dias depois, foi modificado e reiniciado pelos atacantes logo após a publicação desse patch, segundo informou a empresa ontem em seu blog. Embora o novo ataque tenha sido bloqueado pelas correções, é possível que a contaminação tenha atingido os devices nos quais o recurso de atualização automática não estava ativado – ou nos quais os administradores de sistemas ainda não instalaram manualmente o patch.

A Sophos informou que ao perceberem a implantação do patch os atacantes se rearmaram, modificando sua rotina de ataques e substituíram o payload original, destinado a roubo de dados e implantação de ransomware em redes corporativas protegidas pelos firewalls da Sophos.

A nova cadeia de ataques incluiu estes payloads:

  • EternalBlue 
  • DoublePulsar
  • Ragnarok 

O primeiro explora o Windows SMB, para permitir a infecção de computadores na rede após o firewall ser ultrapassado; o segundo é um implante para o kernel do Windows, que garante aos hackers uma presença em computadores da rede; e o terceiro é uma variedade de ransomware.

É comum os criminosos evitarem a execução de malware nos países em que residem, presumivelmente para evitar a atenção da polícia local. Segundo o comunicado da Sophos, “uma maneira de fazer isso é usar as configurações de idioma ou localização no computador de destino para tomar a decisão. O Ragnarok JSON contém sua política de exclusão baseada em localização, que inclui a Rússia e os países da CEI, mas também Israel, Espanha e configurações de idioma representando quatro dialetos regionais usados ​​na China (chinês simplificado, uigur, yi e tibetano)”.

Veja isso
Zero day no Sophos XG exigiu patch de emergência no sábado
Thoma Bravo conclui compra da Sophos por US$ 3,9 bilhões

A Sophos contou no comunicado de ontem que as novas armas utilizadas nos ataques falharam completamente. A empresa diz que, nos firewalls corrigidos, o hotfix removeu todos os vestígios do malware, incluindo dois arquivos de implantação de backdoor, impedindo que a nova cadeia de ataques entregue e instale ransomware.

Os hackers trabalharam aproveitando uma vulnerabilidade de zero day para atacar o servidor de banco de dados do firewall – um PostgreSQL – e ali plantar malware. Segundo a Sophos, o payload inicial era um trojan, batizado pelos especialistas da empresa de Asnarök. Ele coletava arquivos contendo nomes de usuário e senhas das contas do firewall da Sophos. Os especialistas da empresa descobriram que esses hackers deixaram dois arquivos que funcionavam como backdoor, proporcionando a eles, no futuro, um modo de controlar os dispositivos infectados.

Com agências internacionais

Compartilhar: