Hackers tentaram 2 métodos de exploração de uma vulnerabilidade de dia zero no Sophos’ Firewall XG, mas a Sophos diz que fez uma solução temporária que mitigou os riscos.
Os invasores originalmente tentaram plantar um Trojan nas redes explorando a vulnerabilidade de dia zero, mas depois mudei para ransomware.
Os firewalls XG que receberam um hotfix conseguiram bloquear os ataques, incluindo o ransomware, que a empresa identificou como Ragnarok.
Este malware de bloqueio de criptografia foi detectado pela primeira vez em janeiro, quando a empresa de segurança FireEye publicou um relatório sobre isso, observando que seus operadores estavam tentando tirar vantagem das falhas nos servidores ADC e Gateway da Citrix na época.
A Sophos detectou a primeira onda desses ataques em abril, quando os hackers tentavam tirar vantagem de uma vulnerabilidade de injeção SQL de dia zero nos produtos de firewall XG.
CVE-2020-12271, permitiu que os invasores atacassem o servidor de banco de dados PostgreSQL integrado ao firewall, permitindo então que os hackers injetassem uma única linha de código Linux em bancos de dados que lhes permitiria plantar malware em redes vulneráveis.
Os invasores tentaram plantar um Trojan chamado Asnarök, que permite que os agentes de ameaças roubem nomes de usuários e senhas com hash.
Quando os analistas da Sophos começaram a perceber o desenrolar dos ataques, eles apressaram uma solução temporária para seus clientes.
Os hackers então tentaram mudar de tática.
Durante os ataques iniciais em abril, os hackers deixaram para trás o que a Sophos chama de “canal de backup” e outros arquivos maliciosos que permitiriam aos invasores entrar novamente na rede se tivessem sido detectados e bloqueados.
Quando a Sophos bloqueou o primeiro ataque de firewall com um hotfix, os hackers tentaram aproveitar a vulnerabilidade EternalBlue em versões mais antigas do Microsoft Windows e o malware backdoor DoublePulsar para entrar novamente nas redes e plantar o ransomware Ragnarok.
O hotfix impediu que os hackers executassem esse ataque mais recente porque desativou os arquivos maliciosos.
Fonte: https://www.instagram.com/p/CAiSyUZAP6J/
