Gangue de ransomware usa falha na impressão do Windows para infectar vítimas
Por Felipe Gugelmin | Editado por Claudio Yuge | 12 de Agosto de 2021 às 19h30
Revelada no início de julho pela Microsoft, a falha nos sistemas de impressão do Windows que ficou conhecida como PrintNightmare já passou a fazer parte do arsenal de gangues especializadas em ransomware. Pesquisadores da Crowdstrike descobriram que o grupo Magniber está usando a falha, que permite tomar controle total sobre os sistemas vulneráveis, como forma de sequestrar máquinas na Coreia do Sul.
- Microsoft confirma outra brecha grave no sistema de impressão do Windows
- PrintNightmare: falha atinge todas as versões do Windows
- Atualização do Windows corrige brecha PrintNightmare e 117 vulnerabilidades
A falha, que afeta diversas versões do sistema operacional, afeta o recurso chamado Print Spooler, que gerencia a fila de documentos enviados remotamente para a impressão. A partir dela, um atacante pode criar novas contas com privilégios de administrador no sistema da vítima, coletando arquivos e enviando malwares para dispositivos que compartilham a mesma rede.
Um elemento que ajuda nas ações de gangues como o Magniber é o fato de que uma prova de conceito de como explorar a brecha foi divulgada antes de a Microsoft ter tempo de corrigi-la. Além disso, o problema é considerado de baixa complexidade, o que facilita as atividades dos atacantes — desde que o PrintNightmare se tornou conhecido, a empresa já lançou diversas atualizações para corrigi-la, sendo a mais recente na última terça-feira (10).
Grupo se especializa em ataques na Ásia
Segundo Liviu Arsene, Diretor de Pesquisa e Relatórios de Ameaças do Crowstrike, o ataque realizado pela gangue foi detectado pela primeira vez no dia 13 de julho. Usando a brecha no sistema de impressão, os cibercriminosos enviam uma DLL maliciosa inserida em um processo, que em seguida descompacta arquivos e realiza a exploração transversal do sistema em busca de arquivos sensíveis — após coletá-los, o grupo criptografa o sistema invadido e passa a exigir um resgate das vítimas.
Ativo desde 2017, o Magniber também já explorou brechas no Internet Explorer e se aproveitou de falsos anúncios publicitários para se espalhar em máquinas vulneráveis. Apesar de seus principais alvos estarem localizados na Coreia do Sul, o grupo responsável já atuou em locais como China, Taiwan, Hong Kong, Singapura e Malásia.
Embora a Microsoft tenha sido rápida em lançar atualizações que lidam com o PrintNightmare, ela continua enfrentando problemas para eliminar completamente a ameaça. Nesta quinta-feira (12), a empresa divulgou detalhes sobre a falha CVE-2021-369578, recomendando o desligamento do sistema Print Spooler do Windows como forma de impedir que ela seja explorada.
Fonte: Bleeping Computer