0
0
Nova pesquisa descreve como agem os operadores do ransomware desde a violação do servidor até a execução do ataque
Operadores do ransomware Cring montaram um sofisticado ataque contra um alvo após hackear um servidor executando uma versão de 11 anos sem patch do software ColdFusion 9, da Adobe. A empresa usava o servidor para coletar o quadro de horários e dados contábeis da folha de pagamento e para hospedar várias máquinas virtuais. Os invasores violaram o servidor conectado à internet em minutos e executaram o ransomware 79 horas depois.
“O ransomware Cring não é novo, mas é incomum. No incidente que investigamos, o alvo era uma empresa de serviços e tudo o que foi necessário para invadi-la foi uma máquina com acesso à internet rodando um software antigo, desatualizado e sem patch. O surpreendente é que este servidor estava em uso diário ativo. Frequentemente, os dispositivos mais vulneráveis são máquinas inativas ou fantasmas, esquecidas ou negligenciadas quando se trata de patches e atualizações”, explica Andrew Brandt, pesquisador principal da Sophos.
Segundo ele, independentemente de qual seja o status — em uso ou inativo — os servidores voltados para a internet sem patch são os principais alvos dos ciberataques que examinam a superfície de uma empresa em busca de pontos de entrada vulneráveis. “Este é um lembrete gritante de que os administradores de TI necessitam ter um inventário preciso de todos os seus ativos conectados e não podem deixar sistemas de negócios críticos desatualizados na internet de forma pública”, completa Brandt.
A pesquisa mostra que os cibercriminosos começaram escaneando o site do alvo utilizando ferramentas automatizadas e foram capazes de invadir em minutos, uma vez que identificaram que estavam executando o ColdFusion sem patch em um servidor. E descobriu ainda que, após a violação inicial, os invasores usaram técnicas bastante sofisticadas para ocultar seus arquivos, injetar código na memória e cobrir seus rastros sobrescrevendo arquivos com dados truncados ou excluindo logs e outros artefatos que os caçadores de ameaças poderiam usar em uma investigação.
Os invasores também conseguiram desativar os produtos de segurança porque a funcionalidade de proteção contra adulteração foi desligada.Os invasores postaram uma nota de resgate dizendo que exfiltraram dados que estão “prontos para serem vazados caso não seja possível fazer um bom negócio”.
FONTE: CISO ADVISOR