0
0
Mais de 1.200 organizações foram vítimas de uma campanha que usa explorações conhecidas para obter remotamente acesso a contas VoIP – e os atacantes estão vendendo acesso ao maior lance.
Uma campanha de hackers comprometeu os sistemas telefônicos VoIP (Voice over Internet Protocol) em mais de 1.000 empresas em todo o mundo no último ano, em uma campanha projetada para lucrar com a venda de contas comprometidas.
Embora o objetivo principal pareça ser discar números de taxas premium de propriedade de invasores ou vender números de telefone e planos de chamadas que outros podem usar gratuitamente, o acesso a sistemas VoIP poderia fornecer aos criminosos cibernéticos a capacidade de realizar outros ataques, incluindo ouvir chamadas privadas, criptomining, ou mesmo usar sistemas comprometidos como um trampolim para campanhas muito mais intrusivas.
Detalhado por pesquisadores de cibersegurança da Check Point,um grupo de hackers comprometeu as redes VoIP de quase 1.200 organizações em mais de 20 países, explorando a vulnerabilidade, com mais da metade das vítimas no Reino Unido. Acredita-se que indústrias como governo, militar, seguro, finanças e manufatura foram vítimas da campanha.
Outros países onde as organizações foram vítimas desses ataques incluem holanda, Bélgica, Estados Unidos, Colômbia e Alemanha.
Os ataques exploram o CVE-2019-19006, uma vulnerabilidade crítica nos sistemas telefônicos Sangoma e Asterisk VoIP que permite que pessoas de fora tenham acesso remotamente sem qualquer forma de autenticação. Um patch de segurança para corrigir a vulnerabilidade foi lançado no ano passado, mas muitas organizações ainda não a aplicaram – e os criminosos cibernéticos estão se aproveitando disso, procurando sistemas não corrigidos.
“A vulnerabilidade é uma falha de desvio de autenticação, e a exploração está disponível publicamente. Uma vez explorados, os hackers têm acesso administrativo ao sistema VoIP, que lhes permite controlar suas funções. Isso não será detectado a menos que uma equipe de TI esteja especificamente procurando por isso”, disse Derek Middlemiss, evangelista de segurança da Check Point Research, à ZDNet.
Um dos meios mais comuns para os quais os sistemas hackeados são explorados é fazer chamadas de saída sem que o sistema VoIP esteja ciente, o que permitiria aos atacantes discar secretamente números de taxas premium que eles criaram para gerar dinheiro às custas da organização comprometida. E como as empresas fazem tantas chamadas telefônicas legítimas nesses sistemas, seria difícil detectar se um servidor está sendo explorado.
Os atacantes também ganham dinheiro vendendo acesso aos sistemas ao maior lance, algo que poderia potencialmente ser usado para outros ataques cibernéticos que poderiam ser mais perigosos para as vítimas.
“É provável que esses ataques possam ser aproveitados para outras atividades maliciosas, como criptominagem e escutas”, disse Middlemiss.
E é potencialmente possível que os invasores usem um sistema VoIP comprometido como porta de entrada para o resto da rede, abrindo a possibilidade de roubar credenciais ou implantar malware.
“Isso depende de como o servidor está configurado e conectado ao resto da rede corporativa. Se não for segmentado do resto da rede, os atacantes podem se mover lateralmente”, acrescentou.
Recomenda-se que as organizações alterem nomes de usuário e senhas padrão em dispositivos para que não possam ser facilmente explorados e, se possível, analisar os faturamentos de chamadas regularmente para destinos potencialmente suspeitos, volumes de tráfego ou padrões de chamadas.
E o mais importante é que as organizações devem aplicar os patches de segurança necessários para evitar que vulnerabilidades conhecidas sejam exploradas.
“Procure sempre e aplique novos patches para tudo em sua rede para garantir que vulnerabilidades como essa sejam fechadas”, disse Middlemiss.
FONTE: ZDNET