Mercado fechará em 3 h 44 min
  • BOVESPA

    106.025,83
    -337,27 (-0,32%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.553,91
    -160,69 (-0,31%)
     
  • OURO

    1.800,20
    +1,40 (+0,08%)
     
  • BTC-USD

    61.396,53
    +2.038,79 (+3,43%)
     
  • CMC Crypto 200

    1.480,32
    +60,95 (+4,29%)
     
  • S&P500

    4.590,35
    +38,67 (+0,85%)
     
  • DOW JONES

    35.687,51
    +196,82 (+0,55%)
     
  • FTSE

    7.249,17
    -4,10 (-0,06%)
     
  • HANG SENG

    25.555,73
    -72,97 (-0,28%)
     
  • NIKKEI

    28.820,09
    -278,11 (-0,96%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,5720
    +0,1473 (+2,29%)
     

Microsoft Exchange foi usado para espionar hotéis e governos

·2 minuto de leitura

Um novo grupo responsável por crimes de ciberespionagem foi descoberto pela ESET. Segundo a empresa, essa equipe é responsável por vários incidentes de segurança em hotéis e governos pelo menos desde 2019.

Chamado de FamousSparrow, a ESET descreve o grupo de criminosos como uma ameaça persistente avançada, ou seja, a equipe faz uso de técnicas de invasão contínuas e sofisticadas para obter acesso e permanecer por um bom tempo em sistemas. A empresa de segurança afirma que esses espiões virtuais já atuaram no mundo inteiro, como na França e até mesmo o Brasil, durante os últimos dois anos.

Segundo o relatório da ESET, os criminosos fazem uso de diversos vetores de ataque para realizar suas espionagens, como vulnerabilidades no Microsoft SharePoint que permitem a execução remota de código. Mas as principais falhas usadas pelo grupo são chamadas de ProxyLogon, encontradas em versões antigas do Microsoft Exchange.

ProxyLogon é o nome dado para um conjunto de falhas em versões antigas do Microsoft Exchange. Essas vulnerabilidades permitem que diversos atores maliciosos entrem em sistemas e ficassem os espionando. Em casos mais extremos, a falha também foi usada como vetor de ataques de sequestro virtual (ransomware).

Em março deste ano, após muitas notícias dessas falhas sendo usadas em ataques ransomware, a Microsoft disponibilizou atualizações para o Exchange que corrigiam essas vulnerabilidades.

Segundo o relatório da ESET, o FamousSparrow, um dia após a disponibilização da atualização do Microsoft Exchange, começou a direcionar suas invasões em sistemas que ainda usassem versões anteriores do software.

Além do uso do ProxyLogon, o grupo de criminosos também faz uso de um ataque backdoor própria chamada SparrowDoor, que implanta no sistema invadido vários malwares. Esses vírus faz com que criminosos possam renomear e deletar arquivos, criar pastas, desativar processos, mandar informações como tamanho e atributo de documentos, registrar informações em arquivos específicos e estabelecer um comando remoto na máquina das vítimas. Por fim, o SparrowDoor também conta com uma função de auto-destruição, que apaga todos os rastros da invasão do computador.

Conexão com outras ameaças persistentes

O relatório da ESET também cita o fato que os pesquisadores encontraram possíveis conexões do FamousSparrow com outros grupos criminosos considerados ameaças avançadas persistentes.

Porém, mesmo com esses indicativos, a empresa de cibersegurança considera o FamousSparrow um grupo separado dos outros. Para os pesquisadores, os membros dessa equipe criminosa em algum momento obteram acesso a sistemas de hotéis e começaram a fazer espionagem e, após algum tempo, começaram a mirar em alvos mais importantes, como governos.

Por fim, a ESET alerta da importância de todos os programas e sistemas de computadores e redes estarem sempre atualizados, para impedir que ameaças como as do grupo FamousSparrow possam acontecer.

Mais detalhes sobre o FamousSparrow podem ser encontrados no artigo da ESET sobre os criminosos.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos