Gangue de ransomware usa falha na impressão do Windows para infectar vítimas

Gangue de ransomware usa falha na impressão do Windows para infectar vítimas

Por Felipe Gugelmin | Editado por Claudio Yuge | 12 de Agosto de 2021 às 19h30
Divulgação/Klaus Aires Alves/Pixabay

Revelada no início de julho pela Microsoft, a falha nos sistemas de impressão do Windows que ficou conhecida como PrintNightmare já passou a fazer parte do arsenal de gangues especializadas em ransomware. Pesquisadores da Crowdstrike descobriram que o grupo Magniber está usando a falha, que permite tomar controle total sobre os sistemas vulneráveis, como forma de sequestrar máquinas na Coreia do Sul.

A falha, que afeta diversas versões do sistema operacional, afeta o recurso chamado Print Spooler, que gerencia a fila de documentos enviados remotamente para a impressão. A partir dela, um atacante pode criar novas contas com privilégios de administrador no sistema da vítima, coletando arquivos e enviando malwares para dispositivos que compartilham a mesma rede.

Um elemento que ajuda nas ações de gangues como o Magniber é o fato de que uma prova de conceito de como explorar a brecha foi divulgada antes de a Microsoft ter tempo de corrigi-la. Além disso, o problema é considerado de baixa complexidade, o que facilita as atividades dos atacantes — desde que o PrintNightmare se tornou conhecido, a empresa já lançou diversas atualizações para corrigi-la, sendo a mais recente na última terça-feira (10).

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Grupo se especializa em ataques na Ásia

Segundo Liviu Arsene, Diretor de Pesquisa e Relatórios de Ameaças do Crowstrike, o ataque realizado pela gangue foi detectado pela primeira vez no dia 13 de julho. Usando a brecha no sistema de impressão, os cibercriminosos enviam uma DLL maliciosa inserida em um processo, que em seguida descompacta arquivos e realiza a exploração transversal do sistema em busca de arquivos sensíveis — após coletá-los, o grupo criptografa o sistema invadido e passa a exigir um resgate das vítimas.

Imagem: Divulgação/Lansweeper

Ativo desde 2017, o Magniber também já explorou brechas no Internet Explorer e se aproveitou de falsos anúncios publicitários para se espalhar em máquinas vulneráveis. Apesar de seus principais alvos estarem localizados na Coreia do Sul, o grupo responsável já atuou em locais como China, Taiwan, Hong Kong, Singapura e Malásia.

Embora a Microsoft tenha sido rápida em lançar atualizações que lidam com o PrintNightmare, ela continua enfrentando problemas para eliminar completamente a ameaça. Nesta quinta-feira (12), a empresa divulgou detalhes sobre a falha CVE-2021-369578, recomendando o desligamento do sistema Print Spooler do Windows como forma de impedir que ela seja explorada.

Fonte: Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.