0
0
Worm Indexsinas utiliza exploits como EternalBlue e EternalRomance e o backdoor DoublePulsar para escravizar máquinas com criptominers
Quem acompanhou os ataques de ransomwarae de 2017 sabe que os exploits EternalBlue e EternalRomance foram utilizados para invadir compartilhamentos SMB do Windows, assim como foi também utuilizado o backdoor DoublePulsar. Agora, o ‘worm’ Indexsinas lança ataques no mundo inteiro utilizando as mesmas armas, com poucas modificações. Os objetivos são ambientes vulneráveis para se autopropagar, alertaram os pesquisadores – com foco particular nos setores de saúde, hospitalidade, educação e telecomunicações. Seu objetivo final é colocar criptominadores em máquinas comprometidas.
Na quarta-feira da semana passada, dia 7 de julho, o Guardicore Labs publicou uma análise informando que “a propagação é alcançada por meio da combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance (…) Essas explorações são usadas para violar novas máquinas de vítimas, obter acesso privilegiado e instalar backdoors.”
A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN), segundo a empresa, no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha. Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciou ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências
governamentais.
Esse tipo de ataque, acrescenta a Guardicore, utiliza servidores SMB vulneráveis para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos. A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware. O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.
FONTE: CISO ADVISOR