Worm Indexsinas segue em ação e tem na mira os servidores Windows SMB

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas

Compartilhar:

A Guardicore publicou novas informações e análise sobre o Indexsinas, um worm para protocolo SMB (Server Message Block, para compartilhamento de arquivos) também conhecido como NSABuffMiner.

 

A campanha de ataque, ativa desde 2019, continua em ação, tem como alvo servidores Windows SMB. Esses ataques utilizam o kit do Equation Group, e suas vítimas incluem hospitais e organizações do setor de saúde, assim como organizações das áreas de educação, saúde, telecomunicações e governo.

 

O Guardicore Labs publicou um repositório no GitHub com todos os IOCs – indicadores de comprometimento – dessa campanha, assim como uma ferramenta de detecção em Powershell.

 

Como se dá a invasão

 

O Indexsinas invade as redes das organizações por meio de servidores SMB, utilizando o movimento lateral para se propagar. A propagação se dá pela combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance, tornados públicos há quadro anos, quando foram identificadas nos ataques WannaCry e NotPetya.

 

Com esses exploits os hackers infectam máquinas de modo a obter acessos privilegiados e instalar backdoors.

 

A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN) no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha.

 

Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciaram ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências governamentais.

 

Como prevenir esse tipo de ataque

 

Esse tipo de ataque utiliza servidores SMB vulneráveis ​​para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ​​ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos.

 

A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware.

 

O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.

Conteúdos Relacionados

Security Report | Overview

Hackers publicam megavazamento de fotos de brasileiros na Dark Web

Dados foram identificados pela equipe de Inteligência Cibernética da Solo Iron. As fotos podem ser usadas em fraudes
Security Report | Overview

Trojan bancário registra aumento de 87% de ataques no Brasil

Panorama de ameaças de 2024 da empresa de cibersegurança Kaspersky mostra mais de 1,6 milhão de bloqueios em um ano...
Security Report | Overview

Threat Intel: A IA pode ser propulsora desse recurso no Brasil?

Hoje, empresas precisam de um batalhão de analistas para lidar com cerca de 45 mil eventos de segurança por mês,...
Security Report | Overview

Assembleia Legislativa de Mato Grosso seleciona parceria para acelerar conformidade com LGPD

O CipherTrust Data Discovery and Classification da Thales visa proporcionar visibilidade e descoberta de dados, além de classificação e análise...