A Guardicore publicou novas informações e análise sobre o Indexsinas, um worm para protocolo SMB (Server Message Block, para compartilhamento de arquivos) também conhecido como NSABuffMiner.
A campanha de ataque, ativa desde 2019, continua em ação, tem como alvo servidores Windows SMB. Esses ataques utilizam o kit do Equation Group, e suas vítimas incluem hospitais e organizações do setor de saúde, assim como organizações das áreas de educação, saúde, telecomunicações e governo.
O Guardicore Labs publicou um repositório no GitHub com todos os IOCs – indicadores de comprometimento – dessa campanha, assim como uma ferramenta de detecção em Powershell.
Como se dá a invasão
O Indexsinas invade as redes das organizações por meio de servidores SMB, utilizando o movimento lateral para se propagar. A propagação se dá pela combinação de um scanner de porta de código aberto e três exploits do Equation Group – EternalBlue, DoublePulsar e EternalRomance, tornados públicos há quadro anos, quando foram identificadas nos ataques WannaCry e NotPetya.
Com esses exploits os hackers infectam máquinas de modo a obter acessos privilegiados e instalar backdoors.
A campanha Indexsinas começou a atingir a Rede de Sensores Globais da Guardicore (GGSN) no início de 2019 e se mantém ativa ainda hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que iniciado o rastreamento da campanha.
Os ataques tiveram origem em mais de 1.300 fontes diferentes, com cada uma das máquinas responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão as próprias vítimas dos ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses IPs evidenciaram ataques a vários setores, como saúde, educação, telecomunicações, hotelaria e agências governamentais.
Como prevenir esse tipo de ataque
Esse tipo de ataque utiliza servidores SMB vulneráveis para violar redes e mover-se lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis na Internet, e muitos deles ainda vulneráveis ao MS-17010 e é isso o que faz ataques como o Indexsinas lucrativos.
A chave para reconhecer pontos de entrada vulneráveis e evitar que ataques se propaguem na rede são a visibilidade e a segmentação, como reconhece o próprio governo dos Estados Unidos, que no dia dois de junho enviou uma carta aberta a executivos e líderes empresariais do setor privado, alertando-os quanto à necessidade de defender suas organizações contra o ransomware.
O alerta da Casa Branca reafirma a importância de segmentar as redes corporativas para evitar que um invasor se mova lateralmente chegando a ativos estratégicos – as “joias da coroa” na rede – e também para minimizar os danos, estabelecendo limites entre os servidores na rede e limitando o tráfego entre eles.