Softwares esquecidos, sem patches e desatualizados fornecem um ponto de entrada ideal para cibercriminosos. Este também é o caso no caso atual de um ataque de ransomware que explorou o software Adobe ColdFusion de 11 anos em um servidor.
A Sophos descobriu um ataque particularmente sofisticado chamado Cring Ransomware Exploits Ancient ColdFusion Server. Os operadores do ransomware Cring atacaram sua vítima depois de invadir um servidor que executava uma versão não corrigida de 11 anos do software Adobe ColdFusion. A vítima usou o servidor para coletar planilhas e dados contábeis para folha de pagamento e para hospedar várias máquinas virtuais. Os invasores penetraram no servidor habilitado para web em minutos e executaram o ransomware 79 horas depois.
Criminosos usaram técnicas sofisticadas
A investigação da Sophos revelou que os invasores usaram ferramentas automatizadas para escanear o site da vítima como primeiro passo. Assim que descobriram que uma versão sem patch do ColdFusion estava em execução no servidor, eles conseguiram invadir em minutos. Depois disso, eles usam técnicas de encobrimento particularmente sofisticadas: eles iniciam a codificação do código na memória e cobrem seus rastros substituindo arquivos contendo dados corrompidos ou logs excluídos e outros artefatos que os caçadores de ameaças usam em suas investigações. Os hackers também conseguiram desativar os produtos de segurança porque o recurso anti-adulteração foi desativado. Por fim, eles divulgaram uma nota de que exfiltraram dados que divulgarão se um "bom negócio" não acontecer.
Software antigo é um gateway perigoso
“Os dispositivos que executam software vulnerável e desatualizado são exatamente os gateways que os cibercriminosos procuram como o caminho mais fácil para a vítima. O ransomware Cring não é novo, mas é raro. No caso analisado, o alvo do ataque era uma empresa de serviços onde apenas um servidor habilitado para Internet com software desatualizado e sem patches abriu as portas para o ataque. O que é incrível é que este servidor estava em uso diário. Freqüentemente, os dispositivos mais vulneráveis são os inativos, esquecidos ou negligenciados durante a atualização ou aplicação de patches. Mas, independentemente do status - ativo ou inativo - servidores ou dispositivos habilitados para Internet sem patches são os principais alvos para cibercriminosos que procuram pontos de entrada vulneráveis. Os administradores de TI devem, portanto, ter um inventário preciso de todos os dispositivos conectados e não colocar sistemas antigos e críticos da empresa na rede pública. Se as organizações tiverem esses dispositivos em algum lugar de sua rede, podem ter quase certeza de que os cibercriminosos serão atraídos por eles”, disse Andrew Brandt, pesquisador principal da Sophos.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.