Em meados do terceiro trimestre de 2021, as tecnologias de detecção automática da Kaspersky impediram uma série de ciberataques usando uma exploração de privilégios elevados em vários servidores da Microsoft Windows. Após uma análise mais aprofundada do ataque, os investigadores da empresa descobriram uma nova exploração de dia zero.
Durante o primeiro semestre do ano, os especialistas Kaspersky observaram um aumento neste tipo de golpes que exploram o dia zero. Para se ter uma ideia, uma vulnerabilidade de dia zero é um bug de software desconhecido, descoberto por atacantes antes que o fornecedor tenha conhecimento de sua existência. Como os fornecedores não estão cientes de sua presença, não há correção para vulnerabilidades de dia zero. Por isso, é provável que os ciberataques sejam bem sucedidos.
Nesta análise, a Kaspersky detectou uma série de ataques usando um exploit de privilégios elevados em vários servidores Microsoft Windows. Este exploit teve muitas cadeias de depuração vindas de vulnerabilidades mais antigas, conhecidas publicamente como CVE-2016-3309. Mas um estudo mais profundo revelou que os investigadores da empresa tinham descoberto um novo ciberataque de dia zero, chamado então de MysterySnail .
A semelhança do código descoberto e a reutilização da infraestrutura de Comando e Controle (C&C) levou aos pesquisadores a ligarem estes ciberataques ao conhecido grupo “IronHusky” e “APT”, de origem chinesa, que remonta a 2012.
Ao analisar o malware usado com a exploração de dia zero, os pesquisadores da Kaspersky encontraram variantes usadas em campanhas de espionagem contra companhias TI, assim como organizações militares e de defesa, bem como entidades diplomáticas.
A vulnerabilidade foi relatada à Microsoft e corrigida em 12 de outubro de 2021, como parte do “Patch Tuesdays”, que aconteceu ao longo do mês.
Os produtos Kaspersky detectam e protegem contra as vulnerabilidades citadas acima e os módulos de malware associados .
“Nos últimos anos, temos observado uma tendência estabelecida no constante interesse dos atacantes em encontrar e explorar novos dias zero. Vulnerabilidades, anteriormente desconhecidas dos fornecedores, podem representar uma séria ameaça para as organizações. No entanto, a maioria envolve comportamentos semelhantes. Por isso, é importante contar com a mais recente inteligência contra esses golpes e implantar soluções de segurança que encontrem proativamente as ameaças desconhecidas”, diz Boris Larin, especialista em segurança da Kaspersky.
Para proteger sua organização contra ataques que exploram vulnerabilidades de dia zero, os especialistas da Kaspersky recomendam:
– Atualize o sistema operacional Microsoft Windows e outros softwares de terceiros o mais rápido possível e de forma regular.
– Use uma solução de segurança de endpoint confiável, como o Kaspersky Endpoint Securityfor Business, que apresenta prevenção de exploração, detecção de comportamento e um mecanismo de remediação que pode reverter ações maliciosas.
– Implantar soluções anti-APT e EDR, permitindo capacidades de detecção e descoberta de ameaças, investigação e remediação oportuna de incidentes. Ofereça à sua equipa do SOC acesso às mais recentes informações sobre ameaças e eduque-os regularmente com formação profissional. Todos os itens acima estão disponíveis na Kaspersky Expert Security .
– Juntamente com a proteção adequada do endpoint, serviços dedicados podem ajudar contra ataques de alto perfil. O serviço Kaspersky Managed Detectionand Response pode ajudar a identificar e interromper ataques nos estágios iniciais antes que os atacantes atinjam suas metas.
Saiba mais sobre este ciberataque no Securelist.
