Ao monitorar a internet, a Microsoft localizou dezenas de hospitais com equipamentos de VPN e gateway vulneráveis, expostos. Para ajudar os hospitais, a empresa está enviando alertas personalizados
A Microsoft começou a enviar notificações personalizadas a dezenas de hospitais, como alerta para que protejam dispositivos e gateways VPN vulneráveis, localizados em suas redes. A descoberta foi feita pela empresa durante o monitoramento que suas equipes fazem de ataques de ransomware direcionados e cuidadosamente operados por gangues em vários locais do mundo.
Em nota publicada em seu blog, a empresa informa que “à medida em que as organizações migraram para o trabalho remoto por causa da pandemia, estamos vendo nos serviços de proteção contra ameaças da Microsoft (Microsoft Defender ATP, Office 365 ATP e Azure ATP) que os atacantes por trás do ransomware REvil estão buscando ativamente na Internet sistemas vulneráveis. Observamos também que eles estão usando os recursos de atualização das VPNs para implantar payloads de malware”.
O REvil (ou Sodinokibi) é o principal grupo detectado pela Microsoft, e visa vulnerabilidades em dispositivos VPN e dispositivos de gateway para violação de uma rede. Um dos problemas apontados pela empresa está nos dispositivos da Pulse VPN, que têm vulnerabilidades já resolvidas mas cujo patch não foi aplicado por uma boa quantidade de empresas (e hospitais). Essa é provavelmente a vulnerabilidade explorada pelo ataque de ransomware do REvil à rede de câmbio Travelex no dia 31 de Dezembro de 2019.
Na comunicação por meio de seu blog, a Microsoft informou que tem acompanhado o REvil como parte de um monitoramento mais amplo de ataques de ransomware operados por humanos: “Nossas campanhas de informações sobre ransomware mostram uma sobreposição entre a infraestrutura de malware do REvil do ano passado e a usada em ataques VPN mais recentes. Isso indica uma tendência contínua entre os invasores de redirecionar táticas, técnicas e procedimentos antigos (TTPs) para novos ataques que tiram vantagem da crise atual”.
Veja isso:
Microsoft derruba botnet Necurs após oito anos de combate
Microsoft publica primeira lista de Secured-core PCs
A nota informa que não há inovações técnicas nesses novos ataques, “apenas táticas de engenharia social adaptadas para aproveitar o medo das pessoas e sua necessidade urgente de informações. Eles empregam métodos de ataque operados por humanos para atingir organizações que são mais vulneráveis a interrupções – organizações que não tiveram tempo ou recursos para verificar sua higiene de segurança, como instalar os patches mais recentes, atualizar firewalls e verificar os níveis de integridade e privilégio de usuários e endpoints – aumentando, portanto, a probabilidade de lucro.