Criminosos russos estão por trás de novo ataque contra servidores Microsoft

A Microsoft emitiu nesta semana um alerta crítico para organizações que usam o Windows Server, sobre uma nova onda de ataques que tentam roubar dados de infraestruturas configuradas indevidamente ou sem os mecanismos de proteção adequados. O aviso está relacionado a uma campanha de ataques que vem acontecendo desde abril e seria de autoria do Nobelium, o mesmo grupo por trás dos golpes envolvendo os sistemas SolarWinds.

• NIC.br promove semana de capacitação com cursos gratuitos de segurança
• O que é o spyware Pegasus?
• Microsoft Exchange vaza informações de 100 mil usuários devido a falha

De acordo com a companhia, os ataques estariam acontecendo em grande escala e envolvem o uso de um malware chamado FoggyWeb. A praga foi validada por empresas especializadas em segurança digital, como a Volexity, e seria capaz de criar uma backdoor a partir do abuso de tokens de autenticação usados pelos servidores para comunicação entre as partes, a partir de um sistema chamado Security Assertion Markup Language.

A partir deles, é detonada a exploração nos Serviços de Federação do Active Directory, outro recurso das infraestruturas Windows que fornece logins a usuários e sistemas conectados dentro de uma organização. Ao localizar servidores comprometidos, o malware seria capaz de extrair informações relacionadas a certificados e autenticação, bem como instalar remotamente novos componentes de forma remota, levando a novos ataques.

Os especialistas da Microsoft citam esta como uma backdoor persistente, que pode ser usada de diferentes maneiras pelos atacantes e, também, manipular as solicitações legítimas que são feitas pelo servidor. Tudo isso, claro, enquanto se mantém ocultado de sistemas de segurança automatizados, se aproveitando, também, da ideia de que os servidores mal configurados também não receberiam muito escrutínio de seus administradores.

Nobelium tem origem russa

De origem russa, o Nobelium estaria ligado diretamente ao serviço de inteligência do país, já sendo até mesmo acusados de espionagem internacional pelo governo dos Estados Unidos. O Serviço de Inteligência Estrangeira do país também é conhecido popularmente como Cozy Bear ou APT 29, no que toca suas operações maliciosas contra companhias e organizações internacionais.

Desde maio, a Microsoft vem alertando seus usuários sobre diferentes famílias de malware que vêm sendo usadas pelo grupo, envolvendo ataques de phishing ou a exploração de brechas em servidores. Neste caso, a empresa também emitiu avisos diretos aos clientes com vulnerabilidades detectáveis, de forma que os passos de mitigação sejam realizados para evitar os ataques ou impedir novas explorações.

A todos, a principal dica é quanto à auditoria da infraestrutura, no que toca o acesso dos usuários, privilégios de uso de cada um deles e demais preferências. A Microsoft recomenda a revisão de todas as configurações e a emissão de novas credenciais, fortes e aleatórias para todos, assim como o uso de módulos de segurança e monitoramento para evitar a instalação de malwares ou o desvio de informações sensíveis dos servidores.

Fonte: Microsoft