Alguns servidores de e-mail Microsoft Exchange on premises com patches ainda estão vulneráveis. O grupo que opera o ransomware Conti está aproveitando backdoors que persistem no sistema, relata a empresa de consultoria em segurança cibernética Pondurance.
Apesar da correção, milhares de dispositivos ainda podem estar comprometidos, alertam os pesquisadores da Pondurance. Aparentemente, o grupo Conti está atacando organizações que atenuaram as falhas do Exchange exploradas pela primeira vez por invasores chineses, mas não conseguiram identificar e remover a backdoor (porta dos fundos) já instalada, dizem os pesquisadores.
Em 4 de março, a Microsoft lançou patches de emergência para quatro vulnerabilidades em algumas versões de seus servidores de e-mail Exchange on premises.
Em julho, a administração Biden acusou formalmente um grupo que trabalhava para o Ministério de Segurança da China de realizar uma série de ataques contra servidores Exchange vulneráveis que afetaram milhares de organizações nos Estados Unidos e internacionalmente.
Na semana passada, Anne Neuberger, assessora de segurança nacional dos EUA para tecnologias emergentes e cibernéticas, explicou que o país não retaliou a China por suas “ações cibernéticas agressivas” porque ela está tentando construir um consenso internacional sobre como reagir.
Veja isso
Ataque direcionado de ransomware continuará crescendo
Ransomware DarkSide retoma operações como BlackMatter
Enquanto isso, grupos chineses de ameaças persistentes avançadas (APT) foram encontrados explorando falhas em servidores Exchange para comprometer redes de operadoras de telecomunicações em todo o sudeste da Ásia para coletar comunicações confidenciais dos clientes.
Últimas descobertas
Os pesquisadores da Pondurance identificaram um caso em que um servidor Exchange on premises tinha um agente de monitoramento e gerenciamento remoto não autorizado instalado.
“A ferramenta de monitoramento e gerenciamento remoto não autorizada permaneceu na máquina da vítima por aproximadamente quatro meses e possibilitou a interação remota”, diz a Pondurance. “Em julho, a ferramenta foi usada por invasores para instalar estruturas maliciosas adicionais, incluindo Cobalt Strike. As ações resultantes foram concluídas com a instalação do Conti ransomware.”
Os pesquisadores observaram que as organizações provavelmente corrigiram o Exchange sem realizar a devida diligência para verificar se o acesso backdoor já instalado foi removido.
A Pondurance recomenda procurar por serviços ScreenConnect não autorizados instalados em servidores Exchange on premises que eram vulneráveis [à exploração de falha] em algum ponto. Esses serviços, segundo a empresa, devem estar presentes no registro e teriam gerado logs de eventos ‘Service Created’ (ID de evento 7045) no momento da instalação em março.O Conti é uma operação de ransomware como serviço (RaaS) que contrata afiliadas para executar violações de rede e criptografar dispositivos em troca de uma porcentagem dos resgates pagos. Com agências de notícias internacionais.