Hackers miram servidores corporativos para minerar criptomoedas

Uma campanha de infecção de servidores corporativos para mineração de criptomoedas já fez pelo menos 1.000 vítimas desde dezembro do ano passado. O alvo do grupo hacker Blue Mockingbird são as infraestruturas públicas, que, a partir de uma falha conhecida, são comprometidas e passam a gerar unidades de Monero para as carteiras dos criminosos. Além desse esquema, eles também tentam comprometer computadores e outros dispositivos conectados à mesma rede.

De acordo com alerta emitido pela Red Canary, os alvos principais são os servidores que rodam ASP.NET com framework Telerik. Eles são explorados a partir de uma vulnerabilidade que permite a execução de prompts de comando, o que possibilitaria a obtenção de privilégios de administrador para instalar aplicações e realizar mudanças na plataforma, incluindo a permanência das soluções maliciosas mesmo após uma reinicialização completa.

O total de 1.000 infectados, entretanto, seria apenas preliminar. De acordo com os especialistas em segurança, esse número se refere apenas às organizações monitoradas pela Red Canary, com o escopo da campanha podendo ser muito maior. Isso se deve, principalmente, ao fato de a brecha explorada pelos hackers ser amplamente conhecida e vir sendo utilizada por criminosos desde 2018.

No início de maio, por exemplo, o governo da Austrália liberou relatório afirmando que a vulnerabilidade CVE-2019-18935, da interface Telerik, foi uma das mais exploradas por hackers em ataques contra organizações públicas e privadas do país em 2019 e no primeiro trimestre de 2020. O mesmo vale para a Agência Nacional de Segurtança (NSA) dos EUA, que colocou a brecha como uma das mais populares em seu relatório referente ao ano passado.

• Crimes virtuais dobraram em 2019 e este ano deve ser ainda pior
• Senhas e criptomoedas são maiores focos de ataques usando pandemia
• Malware que rouba dados bancários tem foco exclusivo no Brasil

O problema, de acordo com os especialistas, está na multiplicidade de versões e aplicativos que rodam nos servidores. Eles nem sempre conversam e, sendo assim, por mais que o ASP.NET esteja atualizado, o mesmo pode não valer ao Telerik ou aos outros softwares rodando no servidor, que podem se tornar incompatíveis com versões mais recentes que já são imunes às vulnerabilidades.

De acordo com a Red Canary, a publicação das informações também pode tornar o problema maior, já que mais criminosos ficarão cientes da brecha, mas, ao mesmo tempo, é necessária para que administradores de rede tomem as medidas necessárias para proteção. O ideal é realizar uma atualização completa; caso isso não seja possível, é necessário bloquear, no firewall, as explorações que usem a vulnerabilidade CVE-2019-18935 como porta de entrada.

A empresa de segurança também liberou um guia que indica os sinais de comprometimento e os processos que indicam a presença do minerador e outros malwares instalados na infraestrutura. Os especialistas taxaram a exploração como crítica e pedem que os responsáveis deem atenção preferencial a ela, principalmente neste momento de pandemia em que o estado da segurança da informação pode não ser dos mais apurados.

Fonte: Red Canary