[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

ransomware.jpg

Ransomware tem como alvo servidores WS_FTP não corrigidos

O software de transferência segura de arquivos WS_FTP Server da Progress Software se tornou alvo preferencial de ataques de ransomware, com os operadores de ameaças explorando uma vulnerabilidade crítica não corrigida e exposta à internet.

A equipe de resposta a incidentes da Sophos X-Ops descreve que a tentativa de ataque de ransomware foi feita pelo autoproclamado grupo Reichsadler Cybercrime. O ataque teria utilizado um construtor LockBit 3.0 roubado para criar cargas úteis de ransomware.

Apesar de a Progress Software ter lançado um patch para a vulnerabilidade do WS_FTP Server (CVE-2023-40044) no mês passado, nem todos os servidores foram atualizados, deixando-os vulneráveis à exploração.

Neste ataque em particular, os operadores de ameaças tentaram escalar privilégios usando a ferramenta GodPotato de código aberto, conhecida por permitir o escalonamento de privilégios em várias plataformas de cliente e servidor do Windows.

Sophos X-Ops revelou a sequência de ataque em Mastodon. O ataque começou com a exploração da vulnerabilidade crítica, eventualmente levando à tentativa de implantação de ransomware. Felizmente, o Sophos X-Ops conseguiu impedir o ataque com suas regras de proteção comportamental e medidas de segurança em várias camadas.

Veja isso
Progress alerta sobre falha grave no software WS_FTP Server
Novo malware visa servidores FTP, phpMyAdmin, MySQL e Postgres

“Parece que os invasores só conseguiram realmente implantar ransomware na máquina das vítimas que está executando esse software FTP em si. No entanto, os setores da indústria que usam o software para transferir arquivos permanecem vulneráveis”, alertou John Bambenek, principal caçador de ameaças da Netenrich.

“Particularmente preocupante é o setor de saúde, no qual não apenas as transferências de arquivos entre provedores são importantes, mas o impedimento do médico de acessar esses registros em tempo hábil certamente pode impactar o atendimento ao paciente e potencialmente elevar as taxas de mortalidade.”

Para melhorar as defesas e obter informações sobre essa ameaça mais recente, as organizações podem consultar os indicadores de comprometimento (IOCs) disponibilizados na página do GitHub do Sophos X-Ops.