pixabay fantasy 3756975 1280

Worm usa antigas armas cibernéticas da NSA em ataques

Worm Indexsinas utiliza exploits como EternalBlue e EternalRomance e o backdoor DoublePulsar para escravizar máquinas com criptominers
Da Redação
11/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Quem acompanhou os ataques de ransomwarae de 2017 sabe que os exploits EternalBlue e EternalRomance foram utilizados para invadir compartilhamentos SMB do Windows, assim como foi também utuilizado o backdoor DoublePulsar. Agora, o ‘worm’ Indexsinas lança ataques no mundo inteiro utilizando as mesmas armas, com poucas modificações. Os objetivos são ambientes vulneráveis ​​para se autopropagar, alertaram os pesquisadores – com foco particular nos setores de saúde, hospitalidade, educação e telecomunicações. Seu objetivo final é colocar criptominadores em máquinas comprometidas.

Na quarta-feira da semana passada, dia 7 de julho, o Guardicore Labs publicou uma análise informando que “a propagação é alcançada por meio da combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance (…) Essas explorações são usadas para violar novas máquinas de vítimas, obter acesso privilegiado e instalar backdoors.”

Veja isso
Guardicore descobre primeiro malware em arquivo .WAV
Ransomware oportunista já atacou mais de 83 mil servidores MySQL

A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN), segundo a empresa, no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha. Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciou ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências
governamentais.

Esse tipo de ataque, acrescenta a Guardicore, utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ​​ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos. A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware. O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.

Com informações da assessoria de imprensa

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest