Mercado fechado
  • BOVESPA

    119.371,48
    -690,52 (-0,58%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    49.092,31
    +224,69 (+0,46%)
     
  • PETROLEO CRU

    61,74
    +0,31 (+0,50%)
     
  • OURO

    1.788,20
    +6,20 (+0,35%)
     
  • BTC-USD

    50.142,28
    -4.083,81 (-7,53%)
     
  • CMC Crypto 200

    1.137,49
    -105,56 (-8,49%)
     
  • S&P500

    4.134,98
    -38,44 (-0,92%)
     
  • DOW JONES

    33.815,90
    -321,41 (-0,94%)
     
  • FTSE

    6.938,24
    +42,95 (+0,62%)
     
  • HANG SENG

    29.057,74
    +302,40 (+1,05%)
     
  • NIKKEI

    28.983,31
    -204,86 (-0,70%)
     
  • NASDAQ

    13.765,75
    +15,50 (+0,11%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,5450
    +0,0034 (+0,05%)
     

Brechas no Microsoft Exchange agora estão sendo usadas para espalhar ransomware

Ramon de Souza
·2 minuto de leitura

O conjunto de falhas em versões antigas do Microsoft Exchange — conhecidas coletivamente como ProxyLogon — causaram muita dor de cabeça ao redor do mundo, com diversas empresas e órgãos governamentais sendo espionados por agentes maliciosos. A Microsoft emitiu um patch emergencial que corrige o problema e deu instruções sobre como proteger a porta 443 (usada para explorar a brecha), mas ainda há um número expressivo de servidores desprotegidos. Tudo indica que eles estão expostos a um novo risco.

De acordo com Marcus Hutchins — sim, o pesquisador de segurança que ficou famoso como “o herói do WannaCry” após ter freado a ação do malware em 2017 —, alguém ou um grupo de criminosos está se aproveitando das portas que ainda estão abertas para tentar infectar máquinas com o BlackKingdom, um ransomware que foi identificado pela primeira vez no dia 18 de março. A campanha foi descoberta depois que os meliantes tentaram infectar uma máquina-isca de Hutchins, mas sem sucesso em criptografar seus arquivos.

“Alguém acabou de executar este código em todos os servidores Exchange vulneráveis da brecha ProxyLogon. Ele afirma ser o ‘ransomware’ BlackKingdom, mas não parece criptografar arquivos, apenas libera um[a] [nota de] resgate, não para todos os diretórios”, explica Hutchins. “De acordo com o registro da minha máquina-isca, o mesmo atacante tentou rodar o mesmo código uns dias antes, mas falhou. O código baixa um executável e tenta espalhá-lo para todos os sistemas da rede”, complementa.

Este conteúdo não está disponível devido às suas preferências de privacidade.
Para vê-los, atualize suas configurações aqui.

Analisando a nota de resgate, o especialista percebeu que o texto é um pouco diferente daquele identificado no dia 18 — aliás, até mesmo o nome do arquivo TXT é distinto (decrypt_file.txt versus ReadMe.txt). Porém, o valor requisitado e o endereço da carteira de criptomoedas são idênticos, o que prova que estamos vislumbrando o mesmo ator malicioso. Aliás, até o momento, a carteira em questão só registrou um único pagamento em tal valor, o que mostra que os bandidos — felizmente — não estão tendo sucesso.

Vale lembrar que o BlackKingdom não é o primeiro ransomware a explorar a brecha ProxyLogon para tentar infectar servidores — o DearCry também já foi pego no flagra tentando fazer o mesmo. Usuários do Exchange 2019 (compilações 15.02.0792.010 e 15.02.0721.013), 2016 (15.01.2106.013) e 2013 (15.00.1497.012) são orientados a atualizar seus sistemas o mais rápido possível.

Fonte: Canaltech

Trending no Canaltech: