Worm Indexsinas segue em ação e tem na mira os servidores Windows SMB

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas

Compartilhar:

A Guardicore publicou novas informações e análise sobre o Indexsinas, um worm para protocolo SMB (Server Message Block, para compartilhamento de arquivos) também conhecido como NSABuffMiner.

 

A campanha de ataque, ativa desde 2019, continua em ação, tem como alvo servidores Windows SMB. Esses ataques utilizam o kit do Equation Group, e suas vítimas incluem hospitais e organizações do setor de saúde, assim como organizações das áreas de educação, saúde, telecomunicações e governo.

 

O Guardicore Labs publicou um repositório no GitHub com todos os IOCs – indicadores de comprometimento – dessa campanha, assim como uma ferramenta de detecção em Powershell.

 

Como se dá a invasão

 

O Indexsinas invade as redes das organizações por meio de servidores SMB, utilizando o movimento lateral para se propagar. A propagação se dá pela combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance, tornados públicos há quadro anos, quando foram identificadas nos ataques WannaCry e NotPetya.

 

Com esses exploits os hackers infectam máquinas de modo a obter acessos privilegiados e instalar backdoors.

 

A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN) no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha.

 

Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciaram ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências governamentais.

 

Como prevenir esse tipo de ataque

 

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ​​ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos.

 

A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware.

 

O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...
Security Report | Overview

Governo integra órgãos públicos em rede de comunicação integrada e segura

Projeto pioneiro do Ministério das Comunicações investe R$ 1 bilhão para criar uma infraestrutura independente das operadoras comerciais, permitindo a...
Security Report | Overview

Custos de inatividade das grandes empresas atingem US$ 600 bilhões anuais 

Estudo realizado pela Splunk em parceria com a Oxford Economics, mostra que a indisponibilidade não planejada custa cerca de US$...
Security Report | Overview

Perdas por fraudes digitais relacionadas a IA chegam a quase R$ 5 bilhões, aponta estudo

Com o avanço do uso de Inteligência Artificial em tentativas de fraude, banco Itaú Unibanco destaca medidas de proteção e...