Worm usa antigas armas cibernéticas da NSA em ataques

Views: 51
0 0
Read Time:2 Minute, 6 Second

Worm Indexsinas utiliza exploits como EternalBlue e EternalRomance e o backdoor DoublePulsar para escravizar máquinas com criptominers

Quem acompanhou os ataques de ransomwarae de 2017 sabe que os exploits EternalBlue e EternalRomance foram utilizados para invadir compartilhamentos SMB do Windows, assim como foi também utuilizado o backdoor DoublePulsar. Agora, o ‘worm’ Indexsinas lança ataques no mundo inteiro utilizando as mesmas armas, com poucas modificações. Os objetivos são ambientes vulneráveis ​​para se autopropagar, alertaram os pesquisadores – com foco particular nos setores de saúde, hospitalidade, educação e telecomunicações. Seu objetivo final é colocar criptominadores em máquinas comprometidas.

Na quarta-feira da semana passada, dia 7 de julho, o Guardicore Labs publicou uma análise informando que “a propagação é alcançada por meio da combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance (…) Essas explorações são usadas para violar novas máquinas de vítimas, obter acesso privilegiado e instalar backdoors.”

A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN), segundo a empresa, no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha. Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciou ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências
governamentais.

Esse tipo de ataque, acrescenta a Guardicore, utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ​​ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos. A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware. O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.

FONTE: CISO ADVISOR

Previous post Armas de estado estão em uso nos ciberataques globais
Next post Trabalho remoto e híbrido impulsiona segurança SASE

Deixe um comentário