Segundo pesquisa da Sophos, ransomware Cring explora o software Adobe ColdFusion para lançar ataques avançados

A Sophos, empresa líder global em cibersegurança de próxima geração, publicou a pesquisa “Ransomware Cring explora antigo servidor ColdFusion”, descrevendo um sofisticado ataque que os operadores do ransomware Cring montaram contra um alvo após hackear um servidor executando uma versão sem patch de 11 anos do software ColdFusion 9, da Adobe. A empresa usava o servidor para coletar o quadro de horários e dados contábeis da folha de pagamento e para hospedar várias máquinas virtuais. Os invasores violaram o servidor voltado para a Internet em minutos e executaram o ransomware 79 horas depois.

“Dispositivos que executam softwares vulneráveis e desatualizados são muito fáceis para cibercriminosos que procuram uma maneira simples de atingir um alvo”, explicaAndrew Brandt, Pesquisador Principal da Sophos. “O ransomware Cring não é novo, mas é incomum. No incidente que investigamos, o alvo era uma empresa de serviços e tudo o que foi necessário para invadí-la foi uma máquina com acesso à internet rodando um software antigo, desatualizado e sem patch. O surpreendente é que este servidor estava em uso diário ativo. Freqüentemente, os dispositivos mais vulneráveis são máquinas inativas ou fantasmas, esquecidas ou negligenciadas quando se trata de patches e atualizações", completa.

“Mas, independentemente de qual seja o status — em uso ou inativo — os servidores voltados para a Internet sem patch são os principais alvos dos ciberataques que examinam a superfície de uma empresa em busca de pontos de entrada vulneráveis. Este é um lembrete gritante de que os administradores de TI necessitam ter um inventário preciso de todos os seus ativos conectados e não podem deixar sistemas de negócios críticos desatualizados na internet de forma pública. Se as organizações tiverem esses dispositivos em qualquer lugar de sua rede, podem ter certeza de que os ciberataques serão atraídos por eles e isso facilita a vida dos cibercriminosos”.

A pesquisa da Sophos mostra que os cibercriminosos começaram escaneando o site do alvo utilizando ferramentas automatizadas e foram capazes de invadir em minutos, uma vez que identificaram que estavam executando o ColdFusion sem patch em um servidor. A Sophos descobriu ainda que, após a violação inicial, os invasores usaram técnicas bastante sofisticadas para ocultar seus arquivos, injetar código na memória e cobrir seus rastros sobrescrevendo arquivos com dados truncados ou excluindo logs e outros artefatos que os caçadores de ameaças poderiam usar em um investigação. Os invasores também conseguiram desativar os produtos de segurança porque a funcionalidade de proteção contra adulteração foi desligada.

Os invasores postaram uma nota de resgate dizendo que eles também exfiltraram dados que estão “prontos para serem vazados caso não seja possível fazer um bom negócio”.

Frente a este cenário, a Sophos recomenda as seguintes práticas para ajudar na defesa contra o Cring e outros tipos de ransomware e ataques cibernéticos relacionados:

Em um nível estratégico:

Implantação de proteção em camadas. À medida que mais ataques de ransomware começam a envolver extorsão, os backups continuam necessários, porém são insuficientes. É extremamente importante, em primeiro lugar, manter os cibercriminosos fora, ou detectá-los rapidamente, antes que causem danos. Por isso, é fundamental usar proteção em camadas para bloquear e detectar invasores em todos os pontos possíveis de uma propriedade;
Combinação de especialistas humanos e tecnologia anti-ransomware. A chave para deter o ransomware é a defesa em profundidade, que combina tecnologia anti-ransomware dedicada e busca de ameaças liderada por especialistas humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto os profissionais são mais capazes de detectar as táticas, técnicas e procedimentos que indicam que um invasor está tentando entrar no ambiente. Se as organizações não tiverem as habilidades internas, elas podem obter o apoio de empresas especialistas em cibersegurança.

Em um nível tático do dia-a-dia:

Monitoramento e resposta aos alertas. É importante certificar-se de que as ferramentas, processos,recursos e pessoas estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Muitas vezes, os atacantes de ransomware cronometram o ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucos ou ninguémesteja observando;
Definição e aplicação de senhas fortes. As senhas fortes servem como uma das primeiras linhas de defesa. Elas devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer com um gerenciador de senhas que pode armazenar as credenciais da equipe;
Uso da autenticação multifator (MFA). Mesmo senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede;
Bloqueio de serviços acessíveis. É fundamental realizar varreduras de rede de fora e identificar e bloquear as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa de acesso por gerenciamento remoto, essa ferramenta deve ser colocada atrás de uma VPN ou solução à rede de confiança zero que utilize autenticação multifator como parte de seu login;
Segmentação prática e confiança zero. Separar os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto se trabalha em direção a um modelo de rede de confiança zero;
Realização de backups offline de informações e aplicativos. Manter os backups atualizados, garantindo sua capacidade de recuperação. É importante sempre ter, também, uma cópia offline;
Inventário de ativos e contas. Dispositivos desconhecidos, desprotegidos e sem patch na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atual de todas as instâncias de computação conectadas. Para isso, devem ser feitas varreduras de rede, ferramentas IaaS e verificações físicas para localizá-los e catalogá-los, além da instalação de software de proteção de endpoint em qualquer máquina que não tenha proteção;
Certificação de que os produtos de segurança estejam configurados corretamente. Sistemas e dispositivos desprotegidos também são vulneráveis. É importante garantir que as soluções de segurança sejam configuradas corretamente e, quando necessário, validar e atualizar as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente. Por isso, não se deve desativar a proteção contra adulteração ou criar amplas exclusões de detecção, pois isso facilitará o trabalho de um invasor;
Auditoria do Active Directory (AD). A realização de auditorias regulares em todas as contas no AD garantem que nenhuma delas tenha mais acesso do que o necessário para sua finalidade. Desativar contas para funcionários que estão saindo da empresa também é essencial;
Corrigir tudo. Manter todos os sistemas operacionais e softwares atualizados. Isso também significa verificar se os patches foram instalados corretamente e se estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio. No incidente relatado aqui, tanto o suporte para o software Adobe ColdFusion 9 do servidor, acomo o sistema operacional Windows 2008 de base, foram interrompidos por seus respectivos fornecedores, o que significa que eles não estavam mais recebendo atualizações de software.

Para saber mais, leia o artigo sobre o ransomware Cring no SophosLabs Uncut.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.