10 grupos de hackers atacam as vulnerabilidades do Exchange

12. Março 2021
| Sem comentários
10 grupos de hackers atacam as vulnerabilidades do Exchange

Compartilhar postagem

Mais de dez grupos de hackers atacam as brechas de segurança do Microsoft Exchange. A ESET já identificou mais de 5.000 servidores de e-mail infectados, principalmente na Alemanha.

As vulnerabilidades recentemente tornadas públicas no Microsoft Exchange estão causando cada vez mais ondas. Os pesquisadores da fabricante de segurança de TI ESET descobriram mais de dez diferentes grupos APT (Advanced Persistent Threats), que atualmente exploram cada vez mais as vulnerabilidades para comprometer servidores de e-mail e obter acesso aos dados da empresa. Portanto, a ameaça não se limita ao grupo chinês do háfnio, como se pensava anteriormente. A ESET identificou cerca de 5.000 servidores de e-mail corporativos e governamentais em todo o mundo que foram comprometidos. A maioria dos alvos dos grupos de hackers está na Alemanha. A telemetria dos especialistas em segurança mostrou a presença dos chamados web shells. Esses programas ou scripts maliciosos permitem o controle remoto de um servidor por meio de um navegador da web. Os especialistas em TI publicam uma análise detalhada no ESET Security Blog welivesecurity.de.

Atualizações já lançadas

A ESET reagiu imediatamente e lançou suas análises dos vetores de ataque e funcionalidades maliciosas usadas em suas soluções de segurança para empresas por meio de atualizações. Mesmo antes de a exploração se tornar conhecida, a execução de código malicioso, como ransomware, teria sido detectada pela tecnologia multicamada das soluções ESET B2B. As soluções ESET B2B também detectam ataques de malware, como web shells e backdoors baseados em exploits conhecidos. Independentemente disso, a instalação das atualizações de segurança fornecidas pela Microsoft é obrigatória.

Recomenda-se o uso de sistemas de alerta precoce

O uso das chamadas soluções de detecção e resposta de endpoint (soluções EDR) poderia ter limitado ou impedido o roubo de dados da empresa em muitos casos. “Com a ajuda de soluções EDR, como o ESET Enterprise Inspector, os administradores teriam sido informados sobre atividades suspeitas em um estágio inicial. Dessa forma, a saída de dados da empresa poderia ter sido registrada em um estágio inicial, apesar da exploração da brecha de segurança, a fim de evitá-la por meio de medidas apropriadas", explica Michael Schröder, gerente de estratégia de negócios de segurança da ESET Alemanha.

Para avaliar a postura de segurança, os servidores Exchange devem ser verificados quanto às seguintes detecções:

  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg

 

Análise da ESET revela grupos de espionagem cibernética

“Desde o dia em que a Microsoft lançou os patches do Exchange, vimos mais e mais hackers verificando em massa e comprometendo os servidores do Exchange. Curiosamente, todos esses são grupos APT notórios por atividades de espionagem. Temos certeza de que outros grupos, como operadores de ransomware, também explorarão esses exploits e entrarão no jogo”, diz Matthieu Faou, que lidera a pesquisa da ESET sobre o assunto. Os pesquisadores da ESET também descobriram que alguns grupos APT já estavam explorando as vulnerabilidades antes que os patches fossem disponibilizados. “Podemos, portanto, descartar que esses grupos criaram uma exploração por engenharia reversa das atualizações da Microsoft”, acrescenta Faou.

Três dicas rápidas do Exchange para administradores

  • Os servidores Exchange devem ser corrigidos o mais rápido possível. Isso também se aplica se eles não estiverem conectados diretamente à Internet.
  • Os administradores são aconselhados a verificar webshells e outras atividades maliciosas e removê-los imediatamente.
  • Os detalhes de login devem ser alterados imediatamente.

"O incidente é um bom lembrete de que aplicativos complexos, como o Microsoft Exchange ou o SharePoint, não devem ser abertos na Internet", aconselha Matthieu Faou.

Grupos APT e seus padrões de comportamento

  • Carrapato – comprometeu o servidor da Web de uma empresa com sede no leste da Ásia que fornece serviços de TI. Como no caso de LuckyMouse e Calypso, o grupo provavelmente teve acesso a um exploit antes do lançamento dos patches.
  • LuckyMouse - infectou o servidor de e-mail de uma agência governamental no Oriente Médio. Este grupo APT provavelmente teve um exploit pelo menos um dia antes do lançamento dos patches, quando ainda era um dia zero.
  • calipso - atacou os servidores de e-mail de agências governamentais no Oriente Médio e na América do Sul. O grupo provavelmente teve acesso de dia zero ao exploit. Nos dias que se seguiram, os operadores do Calypso atacaram outros servidores governamentais e corporativos na África, Ásia e Europa.
  • websiic - Alvejou sete servidores de e-mail pertencentes a empresas (nos setores de TI, telecomunicações e engenharia) na Ásia e uma entidade governamental na Europa Oriental.
  • Grupo Winnti - comprometeram os servidores de e-mail de uma empresa de petróleo e uma empresa de maquinário de construção na Ásia. O grupo provavelmente teve acesso a um exploit antes do lançamento dos patches.
  • time tonto – atacaram os servidores de e-mail de uma empresa de compras e de uma consultoria especializada em desenvolvimento de software e segurança cibernética, ambas com sede na Europa Oriental.
  • Atividade do ShadowPad - infectou os servidores de e-mail de uma empresa de desenvolvimento de software com sede na Ásia e uma imobiliária com sede no Oriente Médio. A ESET descobriu uma variante do backdoor do ShadowPad injetado por um grupo desconhecido.
  • "Operação" Ataque de Cobalto – atingiu cerca de 650 servidores, principalmente nos EUA, Alemanha, Reino Unido e outros países europeus, apenas algumas horas após o lançamento dos patches.
  • Portas traseiras do IIS - A ESET observou backdoors do IIS instalados em quatro servidores de e-mail na Ásia e na América do Sul por meio de webshells usados ​​nessas violações. Um dos backdoors é conhecido publicamente como Owlproxy.
  • microcea - comprometeram o servidor Exchange de uma empresa de serviços públicos na Ásia Central, uma região normalmente visada por esse grupo.
  • DLTMiner - A ESET descobriu o uso de downloaders do PowerShell em vários servidores de e-mail anteriormente atacados pelas vulnerabilidades do Exchange. A infraestrutura de rede usada neste ataque está vinculada a uma campanha de mineração de moeda relatada anteriormente.

Fundo

No início de março, a Microsoft lançou patches para o Exchange Server 2013, 2016 e 2019 que abordam várias vulnerabilidades de Execução Remota de Código (RCE) antes da autenticação. As vulnerabilidades permitem que um invasor assuma qualquer servidor Exchange acessível sem precisar conhecer credenciais válidas, tornando os servidores Exchange voltados para a Internet particularmente vulneráveis.

Saiba mais em WeLiveSecurity em ESET.com

 

Sobre ESET

A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

ESET, mensagens de relações públicas
, , , , ,