Gangue de ransomware agora usando falha crítica do Windows em ataques

Views: 290
0 0
Read Time:3 Minute, 21 Second

A Microsoft está alertando que os cibercriminosos começaram a incorporar código de exploração para a vulnerabilidade ZeroLogon em seus ataques. O alerta vem depoisque a empresa notou ataques contínuos do grupo de espionagem cibernética MuddyWater (SeedWorm) na segunda metade de setembro.

Desta vez, o ator de ameaças é TA505, um adversário que é indiscriminado sobre as vítimas que ataca, com uma história começando com a distribuição do trojan bancário Dridex em 2014.

Ao longo dos anos, o ator esteve em ataques entregando uma grande variedade de malware, de backdoors a ransomware.

Recentemente, invasões desse grupo são seguidas pela implantação do ransomware Clop, como no ataque à Universidade de Maastricht no ano passado que resultou no pagamento de um resgate de 30 bitcoins (cerca de US $ 220.000).

Atualizações falsas e ferramentas legítimas

A Microsoft diz que o TA505, que ele rastreia como Chimborazo, implantou uma campanha com atualizações de software falsas que se conectam à infraestrutura de comando e controle do ator de ameaças (C2).

O objetivo das atualizações maliciosas é dar aos hackers privilégios aumentados (bypass do Controle de Conta de Usuário) no sistema de destino e executar scripts maliciosos.

Para a segunda parte, o TA505 usa o Windows Script Host (WScript.Exe), que permite a execução de scripts em várias linguagens de programação, incluindo VBScript, Python, Ruby, PHP, JavaScript e Perl.

A Microsoft diz que os atacantes compilam uma versão da ferramenta de pós-exploração Mimikatz usando o Microsoft Build Engine (MSBuild.Exe)n para construir aplicativos.

A versão de Mimikatz obtida desta forma inclui código de exploração para a vulnerabilidade ZeroLogon (CVE-2020-1472). No último mês, inúmeros pesquisadores lançaram provas de conceito para essa falha.

O que a Microsoft descreveu em um segmento curto é um ataque clássico de aquisição de domínio, onde o ZeroLogon é um ajuste perfeito. Ele oferece acesso direto ao controlador de domínio, de modo que o invasor não precisa mais gastar tempo recebendo as credenciais de administrador.

Com o TA505 envolvido em negócios de ransomware de dinheiro grande, as organizações devem priorizar a aplicação de patches de segurança para essa vulnerabilidade como ataques semelhantes ao que a Microsoft descreveu provavelmente ocorrerão com maior frequência.

Detalhes do ZeroLogon disponíveis

Descoberto por Tom Tervoort da Secura, o ZeroLogon permite que invasores em uma rede de domínio aumentem as permissões ao nível do administrador sem precisar autenticar.

Tervoort descobriu que ele poderia forçar a conexão a um controlador de domínio através do Protocolo Remoto Netlogon em um estado não criptografado (comunicação RPC não segura).

Em seguida, aproveitando uma falha no algoritmo cripto Netlogon, é possível falsificar um login de administrador de domínio. Uma red write-up técnica está disponível na Secura.

A Microsoft abordou essa vulnerabilidade parcialmente por enquanto, impedindo a comunicação do controlador do Windows Active Domain sobre o RPC não seguro. Esta atualização está disponível desde 11 de agosto.

Em 9 de fevereiro, porém, uma nova atualização imporá a mesma comunicação segura a todos os dispositivos da rede.

Avisos liberados

Os administradores de rede receberam avisos repetidos sobre a gravidade da vulnerabilidade ZeroLogon (pontuação crítica máxima 10/10) e pediram para aplicar o patch atual.

Com o código de exploração que (privilégio de administração de domínio obtido em segundos) lançado desde meados de setembro, os atores de ameaças se moveram rapidamente para incorporá-lo em seus ataques.

A Agência de Segurança cibernética e segurança de infraestrutura dos EUA (CISA) exigiu em 18 de setembro que o Poder Executivo Federal Civil tratasse a correção da falha como uma emergência.

A Microsoft soou pela primeira vez o alarme em 23 de setembro, quando viu o ZeroLogon ativamente explorado em ataques. Em seguida veio o alerta sobre MuddyWater alavancando a exploração.

Agora são os cibercriminosos que o empunham, um sinal claro de que a ZeroLogon está a caminho de ser adotada por uma ampla gama de grupos de ameaças que visam organizações nos setores público e privado.

FONTE: BLEEPING COMPUTER

Previous post Fake News é nomeada maior preocupação global de crimes cibernéticos
Next post Pesquisadores encontram vulnerabilidades no Serviço de Nuvem Microsoft Azure

Deixe um comentário