Brechas no Microsoft Exchange agora estão sendo usadas para espalhar ransomware

Por Ramon de Souza | 22 de Março de 2021 às 23h40
Reprodução/NomadSoul1 (Envato)

O conjunto de falhas em versões antigas do Microsoft Exchange — conhecidas coletivamente como ProxyLogon — causaram muita dor de cabeça ao redor do mundo, com diversas empresas e órgãos governamentais sendo espionados por agentes maliciosos. A Microsoft emitiu um patch emergencial que corrige o problema e deu instruções sobre como proteger a porta 443 (usada para explorar a brecha), mas ainda há um número expressivo de servidores desprotegidos. Tudo indica que eles estão expostos a um novo risco.

De acordo com Marcus Hutchins — sim, o pesquisador de segurança que ficou famoso como “o herói do WannaCry” após ter freado a ação do malware em 2017 —, alguém ou um grupo de criminosos está se aproveitando das portas que ainda estão abertas para tentar infectar máquinas com o BlackKingdom, um ransomware que foi identificado pela primeira vez no dia 18 de março. A campanha foi descoberta depois que os meliantes tentaram infectar uma máquina-isca de Hutchins, mas sem sucesso em criptografar seus arquivos.

“Alguém acabou de executar este código em todos os servidores Exchange vulneráveis da brecha ProxyLogon. Ele afirma ser o ‘ransomware’ BlackKingdom, mas não parece criptografar arquivos, apenas libera um[a] [nota de] resgate, não para todos os diretórios”, explica Hutchins. “De acordo com o registro da minha máquina-isca, o mesmo atacante tentou rodar o mesmo código uns dias antes, mas falhou. O código baixa um executável e tenta espalhá-lo para todos os sistemas da rede”, complementa.

Analisando a nota de resgate, o especialista percebeu que o texto é um pouco diferente daquele identificado no dia 18 — aliás, até mesmo o nome do arquivo TXT é distinto (decrypt_file.txt versus ReadMe.txt). Porém, o valor requisitado e o endereço da carteira de criptomoedas são idênticos, o que prova que estamos vislumbrando o mesmo ator malicioso. Aliás, até o momento, a carteira em questão só registrou um único pagamento em tal valor, o que mostra que os bandidos — felizmente — não estão tendo sucesso.

Vale lembrar que o BlackKingdom não é o primeiro ransomware a explorar a brecha ProxyLogon para tentar infectar servidores — o DearCry também já foi pego no flagra tentando fazer o mesmo. Usuários do Exchange 2019 (compilações 15.02.0792.010 e 15.02.0721.013), 2016 (15.01.2106.013) e 2013 (15.00.1497.012) são orientados a atualizar seus sistemas o mais rápido possível.

Fonte: Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.