Outros grupos de hackers se juntam ao frenesi de ataques de troca da Microsoft

Outros grupos de hackers patrocinados pelo estado aderiram a ataques em andamento direcionados a dezenas de milhares de servidores locais do Exchange afetados por vulnerabilidades graves conhecidas, como ProxyLogon.

Após o relatório inicial da Microsoft de que as vulnerabilidades estavam sendo exploradas ativamente por um grupo chinês APT chamado Hafnium, a empresa eslovaca de segurança de Internet ESET compartilhou informações sobre pelo menos três outros grupos de hackers apoiados pela China que abusaram das falhas.

Além desses três (APT27, Bronze Butler, também conhecido como Tick e Calypso), a ESET também afirmou ter identificado vários "grupos não classificados adicionais".

Em uma atualização de sexta-feira de seu anúncio, a Microsoft Ella disse que muitos outros atores de ameaças "além do HAFNIUM" também estão explorando as quatro falhas críticas do Exchange.

De acordo com a telemetria (incompleta) da ESET, os web shells já foram implantados em mais de 5.000 servidores Exchange exclusivos em mais de 115 países.

Pesquisas Webshell por País (ESET) Índice

  1. Servidores Exchange atacados por vários grupos de hackers
  2. Mais de 46.000 servidores ainda estão expostos a ataques

Servidores Exchange atacados por vários grupos de hackers

A ESET divulgou um novo relatório afirmando que os servidores Exchange não corrigidos estão sendo caçados por "pelo menos 10 grupos APT".

Além dos APTs mencionados acima (APT27, Tick e Calypso), a nova lista da ESET também inclui Winnti Group (APT41), Tonto Team, Mikroceen e um agente de ameaças recentemente detectado chamado Websiic.

Ao analisar os dados de telemetria, a empresa também identificou atividades de ShadowPad, "Opera" Cobalt Strike, IIS backdoor e DLTMiner por grupos APT desconhecidos.

A ESET também forneceu um breve resumo das atividades maliciosas desses grupos de ameaças e clusters comportamentais:

  • Tick ​​(Bronze Butler) – Você comprometeu o servidor web de uma empresa sediada no leste da Ásia que fornece serviços de TI. Como foi o caso de LuckyMouse e Calypso, o grupo provavelmente teve acesso a um exploit antes do lançamento dos patches.
  • LuckyMouse (APT27) – Comprometeu o servidor de e-mail de uma entidade governamental no Oriente Médio. Este grupo de APTs provavelmente teve um exploit pelo menos um dia antes dos patches serem lançados, quando ainda era dia zero.
  • Calypso – Servidores de e-mail comprometidos de entidades governamentais no Oriente Médio e América do Sul. O grupo provavelmente acessou o exploit como um dia zero. Nos dias seguintes, os operadores da Calypso visaram servidores adicionais de agências governamentais e empresas privadas na África, Ásia e Europa.
  • Websiic: visava sete servidores de e-mail pertencentes a empresas privadas (nos setores de TI, telecomunicações e engenharia) na Ásia e uma agência governamental na Europa Oriental.
  • Grupo Winnti: comprometeu os servidores de e-mail de uma empresa petrolífera e de uma empresa de máquinas de construção na Ásia. O grupo provavelmente teve acesso a um exploit antes dos patches serem lançados.
  • Tonto Team: Comprometeu os servidores de e-mail de uma empresa de aquisição e de uma empresa de consultoria especializada em desenvolvimento de software e segurança cibernética, ambas sediadas no Leste Europeu.
  • Atividade do ShadowPad: Comprometeu os servidores de e-mail de uma empresa de desenvolvimento de software com sede na Ásia e de uma empresa imobiliária com sede no Oriente Médio. A ESET detectou uma variante de backdoor do ShadowPad lançada por um grupo desconhecido.
  • O Cobalt Strike "Opera" teve como alvo cerca de 650 servidores, principalmente nos EUA, Alemanha, Reino Unido e outros países europeus, poucas horas após o lançamento dos patches.
  • Backdoors do IIS: a ESET observou que os backdoors do IIS são instalados por meio de shells da Web usados ​​nesses compromissos em quatro servidores de e-mail localizados na Ásia e na América do Sul. Um dos backdoors é conhecido publicamente como Owlproxy.
  • Mikroceen: Você comprometeu o servidor de troca de uma empresa de serviços públicos na Ásia Central, que é a região que esse grupo geralmente tem como alvo.
  • DLTMiner: a ESET detectou a implementação de downloaders do PowerShell em vários servidores de e-mail que anteriormente eram alvo de vulnerabilidades do Exchange. A infraestrutura de rede usada neste ataque está vinculada a uma campanha de mineração de moedas relatada anteriormente.

"Agora está claramente além do melhor momento para corrigir todos os servidores Exchange o mais rápido possível", concluiu a ESET.

"Mesmo aqueles que não estão diretamente expostos à Internet devem ser corrigidos porque um invasor com acesso limitado ou sem privilégios à sua LAN pode explorar trivialmente essas vulnerabilidades para aumentar seus privilégios enquanto compromete um servidor Exchange interno (e possivelmente mais sensível) e, portanto, mova-se lateralmente de este."

Informações detalhadas sobre os servidores comprometidos por esses grupos de hackers e os agentes de ameaças por trás da atividade maliciosa ainda não atribuída, incluindo indicadores de comprometimento, podem ser encontradas no Relatório ESET.

Histórico de ataques ProxyLogon (ESET)

Mais de 46.000 servidores ainda estão expostos a ataques

Depois de escanear 250.000 servidores Exchange em todo o mundo, o Instituto Holandês de Divulgação de Vulnerabilidades (DIVD) informou na terça-feira que encontrou 46.000 servidores sem patches contra vulnerabilidades do ProxyLogon fortemente exploradas.

A Microsoft corrigiu as vulnerabilidades críticas em 2 de março, com atualizações de segurança adicionais lançadas pela empresa esta semana para várias versões sem suporte do Exchange.

Redmond também atualizou o Microsoft Safety Scanner Tool (MSERT) para ajudar os clientes a detectar web shells implantados em ataques contínuos no Exchange Server.

Você pode encontrar mais informações sobre como instalar atualizações de segurança neste artigo publicado pela equipe do Microsoft Exchange.

Se você ainda não corrigiu e encontrou sinais de comprometimento, remova os web shells distribuídos pelos invasores, altere todas as credenciais e investigue outras atividades maliciosas em seus servidores.

  • Dados do parlamento norueguês roubados em ataque ao Microsoft Exchange
  • Ransomware Ryuk afeta 700 escritórios de agências de emprego do governo espanhol

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

Deixe uma resposta Cancelar resposta

O que é WannaCry e como funciona?

O WannaCry ataca redes usando SMBv1, um protocolo de compartilhamento de arquivos que permite que PCs se comuniquem com impressoras e outros dispositivos conectados à mesma rede. Ele se comporta como um worm, o que significa que se espalha pelas redes.

Como o WannaCry foi interrompido?

Como o WannaCry foi interrompido? O cientista da computação Marcus Hutchins descobriu um 'killswitch' embutido no código WannaCry , com o qual os invasores poderiam interromper seu ataque se considerassem necessário. Este 'killswitch' funcionou em resposta a um domínio da Internet, cujo registo permitiu desmantelar o ataque.

Quem parou o WannaCry?

Marcus Hutchins, conhecido na comunidade de segurança de computadores como 'MalwareTech' e que foi o herói que conseguiu parar o Wannacry em meio a uma onda de desespero, aceitou duas acusações pelo desenvolvimento de Trojans para o setor bancário. Ele fez isso antes de se tornar um pesquisador de segurança cibernética.

Quando o vírus WannaCry foi criado?

Página inicial » Blog » O que é o WannaCry ? Em 12 de maio de 2017, ocorreu o primeiro e um dos mais famosos ataques de ransomware em escala global.

Ir arriba