Mais de 3 mil servidores estão vulneráveis a ataques com ransomware conhecido
Por Felipe Demartini • Editado por Claudio Yuge |
Brechas conhecidas e muitas vezes, já corrigidas, mas cujas atualizações não foram aplicadas, são a principal porta de entrada para ataques cibercriminosos. Prova disso é um estudo que localizou mais de 3,6 mil servidores desprotegidos e publicamente acessíveis, funcionando com falhas já mitigadas por seus fabricantes, mas ainda assim, plenamente disponíveis para a realização de golpes de ransomware, principalmente.
- O Brasil está preparado para ataques contra empresas de infraestrutura?
- Ataques de ransomware explodem no Brasil com alta de 92% desde o início do ano
- 44% das equipes brasileiras de TI se arriscam ao adiar atualizações de softwares
O levantamento foi feito pelos especialistas em segurança do Cybernews, com foco em vulnerabilidades relacionadas ao sistema Microsoft Exchange. Os pesquisadores observaram o cruzamento entre as aberturas e um ransomware descoberto em maio, o Epsilon Red, cujos atacantes tentam repetir o modus operandi do bando cibercriminoso REvil como forma de obter maiores resgates de suas vítimas — em um dos casos, US$ 200 mil em criptomoedas teriam sido pagos em prol de uma possível devolução dos dados sequestrados.
A maior parte dos servidores desprotegidos está nos Estados Unidos, com 695 detecções, com Dinamarca (334) e França (311) completamento os três maiores. O Brasil, porém, aparece na quinta colocação, com 156 sistemas vulneráveis e atrás apenas da Rússia, que teve 222 detecções no levantamento do Cybernews.
Vale a pena lembrar que tais aberturas continuam existindo mesmo após a divulgação massiva das falhas relacionadas ao Microsoft Exchange, com o perigo e sua posterior correção sendo propagandeadas amplamente, enquanto as principais soluções de segurança são capazes de detectar a ameaça. Além disso, o próprio Epsilon Red, bem como a atuação de outras gangues especializadas em ransomware, são assuntos constantes na comunidade de segurança, mas ainda assim, os servidores seguem desprotegidos e publicamente acessíveis, sendo suscetíveis a ataques remotos em qualquer momento.
Os especialistas definem o Epsilon Red como um ransomware “copycat”, com táticas e programação copiadas de outras soluções, principalmente aquelas usadas em campanhas pelo REvil. Até mesmo a nota de resgate da praga é a mesma, com alterações apenas nos endereços de carteiras de criptomoedas, sites e e-mails indicados para negociação, onde também estão erros de ortografia e gramática.
Segundo os pesquisadores, se trata de uma campanha que vem sendo disseminada de forma massiva, sem alvos determinados e voltada para o ganho de tração e a obtenção de resultados financeiros o mais rapidamente possível. Indicadores de comprometimento foram divulgados pelos especialistas em segurança do CyberNews e também da Sophos, os primeiros a falarem publicamente sobre a ameaça.
A recomendação, principalmente no caso dos servidores desprotegidos, é a atualização completa de sistemas e ferramentas de segurança, que devem ser mantidas sempre ativas para ajudarem a detectar ataques comuns. Além disso, outras plataformas de inteligência de ameaça, backups e isolamento de redes críticas devem estar ativas, de forma a evitar que um ransomware se espalhe rapidamente e comprometa elementos fundamentais de uma infraestrutura.