Servidores Microsoft Exchange são alvo de novo ataque digital, alerta Sophos

A firma de segurança Sophos emitiu um alerta nesta quarta-feira (16) avisando que servidores do Microsoft Exchange estão sendo alvos de ataques envolvendo o vírus Squirrelwaffle. Segundo a empresa, a ameaça foi aplicada em conjunto com os exploits ProxyLogon e ProxyShell para espalhar respostas maliciosas nos agrupamentos de e-mail existentes dos funcionários da empresa vítima da invasão.

• O que é Phishing?
• Criminosos roubam dados de servidores Microsoft Exchange via módulo malicioso

Segundo a Sophos, os criminosos, nesse ataque, exportaram um e-mail sobre pagamentos de clientes do servidor Exchange da vítima. A partir dos dados obtidos por essa mensagem, os invasores registraram um domínio que aparentava ser da própria vítima, mas com um pequeno erro de digitação.

Esse domínio então foi usado para responder o e-mail inicial do ataque, e com isso moveu a conversa para fora da infraestrutura do ambiente da vítima, dando aos invasores o controle operacional sobre os desdobramentos do caso.

Além disso, para adicionar mais legitimidade à conversa, os cibercriminosos mencionavam em cópia outros endereços de e-mail para dar a impressão de que estavam solicitando suporte de um departamento interno — mas que em uma análise mais atenta, se mostravam também como parte da fraude, contando também com pequenos erros de digitação feitos para confundir as vítimas.

Agitação e alerta por meio de mensagens no Microsoft Exchange

Após os passos descritos acima, os criminosos iniciaram a tentativa de fraude financeira, a partir do envio de um novo e-mail que indicava uma suposta mudança de dados bancários de clientes, ao mesmo tempo que tentava criar um senso de urgência nas vítimas.

As tentativas de criar um senso de urgência nas vítimas foram repetidas nos 6 dias subsequentes ao ataque, até que a empresa enviou uma mensagem afirmando que o pagamento entrou em fase de processamento.

Com isso, os criminosos quase atingiram seu objetivo, inclusive a organização foco do golpe iniciou a transferência de dinheiro para os cibercriminosos. No entanto, uma das instituições financeiras envolvidas na transação sinalizou a movimentação como fraudulenta, impedindo assim sua conclusão e evitando muitos prejuízos.

Como se proteger do ataque ao Microsoft Exchange

Mesmo esse ataque junto da tentativa de fraude financeira só tendo sido identificado uma vez pela Sophos até o momento, é importante que empresas já adotem medidas preventivas para evitar possíveis prejuízos. A firma de segurança, para este fim, recomenda os seguintes passos:

• Implementar um plano de resposta a incidentes. Caso não tenha um ou acredite não ter os recursos certos para conter e neutralizar o ataque, entre em contato com uma equipe terceirizada de resposta a incidentes, como o Sophos Rapid Response;
• Instale atualizações sempre que possível. É fundamental atualizar o software em qualquer servidor Microsoft Exchange local vulnerável — e verificar após a aplicação desses patches se existem web shells deixados pelos invasores para acesso posterior;
• Se o domínio tiver sido objeto de erro de digitação, é possível registrar uma reclamação de abuso. Esse processo varia de acordo com o registrador de domínio;

Por fim, a Sophos também frisa a importância de comunicar clientes das empresas sobre a invasão, caso ela ocorra. Assim, eles já poderão planejar formas de se proteger caso o ataque tente se espalhar para endereços externos.

Fonte: Sophos