Worm Indexsinas segue em ação e tem na mira os servidores Windows SMB

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas

Compartilhar:

A Guardicore publicou novas informações e análise sobre o Indexsinas, um worm para protocolo SMB (Server Message Block, para compartilhamento de arquivos) também conhecido como NSABuffMiner.

 

A campanha de ataque, ativa desde 2019, continua em ação, tem como alvo servidores Windows SMB. Esses ataques utilizam o kit do Equation Group, e suas vítimas incluem hospitais e organizações do setor de saúde, assim como organizações das áreas de educação, saúde, telecomunicações e governo.

 

O Guardicore Labs publicou um repositório no GitHub com todos os IOCs – indicadores de comprometimento – dessa campanha, assim como uma ferramenta de detecção em Powershell.

 

Como se dá a invasão

 

O Indexsinas invade as redes das organizações por meio de servidores SMB, utilizando o movimento lateral para se propagar. A propagação se dá pela combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance, tornados públicos há quadro anos, quando foram identificadas nos ataques WannaCry e NotPetya.

 

Com esses exploits os hackers infectam máquinas de modo a obter acessos privilegiados e instalar backdoors.

 

A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN) no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha.

 

Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciaram ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências governamentais.

 

Como prevenir esse tipo de ataque

 

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ​​ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos.

 

A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware.

 

O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA