Mercado fechado
  • BOVESPA

    106.296,18
    -1.438,82 (-1,34%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.889,66
    -130,44 (-0,25%)
     
  • PETROLEO CRU

    84,11
    +0,35 (+0,42%)
     
  • OURO

    1.794,60
    -1,70 (-0,09%)
     
  • BTC-USD

    60.904,57
    -449,62 (-0,73%)
     
  • CMC Crypto 200

    1.453,34
    -49,70 (-3,31%)
     
  • S&P500

    4.544,90
    -4,88 (-0,11%)
     
  • DOW JONES

    35.677,02
    +73,92 (+0,21%)
     
  • FTSE

    7.204,55
    +14,25 (+0,20%)
     
  • HANG SENG

    26.126,93
    +109,43 (+0,42%)
     
  • NIKKEI

    28.534,08
    -270,77 (-0,94%)
     
  • NASDAQ

    15.309,75
    -31,25 (-0,20%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,5780
    -0,0028 (-0,04%)
     

Novo ataque de ransomware compromete sistemas em apenas três horas

·3 minuto de leitura

Agir rapidamente e causar o máximo de dano possível em questão de horas é o método de uma série de novos ataques de sequestro digital, que atingem máquinas virtuais que usam o sistema VMware ESXi. Ao contrário de golpes tradicionais, em que os atacantes podem passar dias ou até meses analisando redes e coletando arquivos antes de disseminarem uma praga, estes acontecem de forma rápida a partir do comprometimento inicial, se aproveitando, principalmente, de erros na configuração de servidores.

Desenvolvidas em Python, as pragas são capazes de travar discos virtuais e assumir o controle dos dados de forma veloz — em um dos casos analisados, foram apenas três horas entre a entrada dos bandidos na rede e a exibição da mensagem exigindo resgate pelo sequestro dos dados. Para piorar as coisas, os vetores que levaram a esse ataque foram descobertos em apenas 10 minutos, depois que uma conta desprotegida do sistema de acesso remoto TeamViewer, rodando em uma máquina com privilégios de administração, foi usada para dar acesso à rede.

Usando um escaneador de IPs, os criminosos localizaram o servidor ESXi mal configurado, com serviços SSH habilitados por padrão, que foi usado para disseminar um ataque de ransomware. Os especialistas da Sophos, responsáveis pelo alerta, indicam este como um dos ataques de sequestro digital mais velozes que já analisaram e apontam, também, que a linguagem Python não costuma ser utilizada em golpes desse tipo, o que torna seu monitoramento e mitigação mais difíceis.

Por outro lado, a análise dos pesquisadores em segurança aponta para métodos comuns dos cibercriminosos. Enquanto a velocidade chamou a atenção, a intrusão ocorreu durante a madrugada, um período de menor atividade dos funcionários da empresa atingida, enquanto a exploração acontece a partir de vetores comuns, como é caso dos sistemas de gerenciamento dos servidores que costumam ser habilitados e desativados de acordo com a necessidade — neste caso, um erro de configuração fez com que a porta permanecesse aberta.

A agilidade do ataque também aparece no tamanho do script utilizado, com apenas 6 kb. A ação pretendia ser furtiva, já que os criminosos tentaram apagar o arquivo após a detonação do ataque, com a amostra em Python sendo obtida após análise forense. O estudo mostrou se tratar de uma praga altamente customizável, que pode ser configurada com múltiplas chaves de criptografia, além de mirar em arquivos ou dados específicos para travamento, a partir de ferramentas de criptografia de código aberto. Chamou a atenção, ainda, a geração de códigos de desbloqueio exclusivos para cada ataque, de forma que uma possível "chave-mestra" não sirva para liberar todas as vítimas.

Apesar de um golpe desse tipo ser uma novidade, a Sophos alerta para o fato de servidores ESXi serem bastante visados, principalmente quando desatualizados ou com configurações padronizadas de segurança. Grupos criminosos como REvil e Darkside já fizeram alvos a partir de infraestruturas desse tipo, com a recomendação aos administradores sendo o cumprimento de melhores práticas de segurança indicadas pela própria VMware, assim como a aplicação de patches de correção e demais rotinas que protejam as plataformas.

A empresa atingida pelo ataque analisado, porém, não foi revelada, assim como os eventuais autores da intrusão. Outros detalhes do caso, como resgate cobrado e eventuais pagamentos, também não foram mencionados.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos