Fonte: Daniel Rubino / Windows Central
Ainda outro grupo de invasores tem como alvo os servidores Microsoft Exchange vulneráveis. Desta vez, é um grupo conhecido como Conti, que está usando as vulnerabilidades do ProxyShell para entrar em redes corporativas. Notícias dos ataques vêm de Sophos, que estava envolvido em um caso de resposta a incidentes (via Biping Computer)
ProxyShell refere-se a três vulnerabilidades do Microsoft Exchange encadeadas. Quando explorado, os invasores podem usá-lo para execução remota não autenticada. As vulnerabilidades foram descobertas pela primeira vez por Orange Tsai. As vulnerabilidades do ProxyShell também foram utilizadas no recente Ataques LockFile.
A Microsoft corrigiu as vulnerabilidades do ProxyShell em maio de 2021, mas pesquisadores e invasores estão prestes a reproduzir a exploração (via Peter Json) Algumas organizações ainda não implementaram o patch da Microsoft, deixando os servidores vulneráveis. Uma vez que os detalhes técnicos das vulnerabilidades foram divulgados, os agentes de ameaças sabem como explorá-los em servidores sem patch.
Os ataques de Conti viram os invasores comprometerem os servidores e instalarem ferramentas para obter acesso remoto aos dispositivos. Os atores da ameaça foram então capazes de roubar dados não criptografados.
Um detalhe preocupante sobre esse ataque é a velocidade com que foi concluído. “Em 48 horas após obter o acesso inicial, os invasores haviam vazado cerca de 1 Terabyte de dados”, diz Sophos. “Depois de cinco dias, eles implantaram o ransomware Conti em todas as máquinas da rede, visando especificamente compartilhamentos de rede individuais em cada computador.”
Os invasores de Conti usaram um e-mail de “@ evil.corp”, que levanta várias bandeiras vermelhas.
Para manter os servidores protegidos, os administradores do servidor Exchange precisam aplicar Atualizações cumulativas mais recentes da Microsoft.
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.