vortex-1264042_1280.jpg

Ransomware Cring usa o Adobe ColdFusion para ataques

Nova pesquisa descreve como agem os operadores do ransomware desde a violação do servidor até a execução do ataque
Da Redação
23/09/2021

Operadores do ransomware Cring montaram um sofisticado ataque contra um alvo após hackear um servidor executando uma versão de 11 anos sem patch do software ColdFusion 9, da Adobe. A empresa usava o servidor para coletar o quadro de horários e dados contábeis da folha de pagamento e para hospedar várias máquinas virtuais. Os invasores violaram o servidor conectado à internet em minutos e executaram o ransomware 79 horas depois.

“O ransomware Cring não é novo, mas é incomum. No incidente que investigamos, o alvo era uma empresa de serviços e tudo o que foi necessário para invadi-la foi uma máquina com acesso à internet rodando um software antigo, desatualizado e sem patch. O surpreendente é que este servidor estava em uso diário ativo. Frequentemente, os dispositivos mais vulneráveis são máquinas inativas ou fantasmas, esquecidas ou negligenciadas quando se trata de patches e atualizações”, explica Andrew Brandt, pesquisador principal da Sophos. 

Segundo ele, independentemente de qual seja o status — em uso ou inativo — os servidores voltados para a internet sem patch são os principais alvos dos ciberataques que examinam a superfície de uma empresa em busca de pontos de entrada vulneráveis. “Este é um lembrete gritante de que os administradores de TI necessitam ter um inventário preciso de todos os seus ativos conectados e não podem deixar sistemas de negócios críticos desatualizados na internet de forma pública”, completa Brandt.

Veja isso
Adobe alerta mercado para que todos desinstalem Flash Player
Adobe corrige brechas no Acrobat, Reader e Photoshop

A pesquisa mostra que os cibercriminosos começaram escaneando o site do alvo utilizando ferramentas automatizadas e foram capazes de invadir em minutos, uma vez que identificaram que estavam executando o ColdFusion sem patch em um servidor. E descobriu ainda que, após a violação inicial, os invasores usaram técnicas bastante sofisticadas para ocultar seus arquivos, injetar código na memória e cobrir seus rastros sobrescrevendo arquivos com dados truncados ou excluindo logs e outros artefatos que os caçadores de ameaças poderiam usar em uma investigação.

Os invasores também conseguiram desativar os produtos de segurança porque a funcionalidade de proteção contra adulteração foi desligada.Os invasores postaram uma nota de resgate dizendo que exfiltraram dados que estão “prontos para serem vazados caso não seja possível fazer um bom negócio”.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)