Como prevenção habitual, analisei recentemente logs de alguns de meus equipamentos. Observei de imediato algumas “solicitações” suspeitas (fig. 1). O resultado final indicou tentativas de exploração de falhas de “Execução de código remoto” e de “Escrita remota de arquivos” em servidores Windows e Linux, vulnerabilidades existentes em um sistema de publicação de conteúdo (CMS) tipo WordPress chamado de ThinkPHP, muito conhecido e utilizado na Ásia.
Se fosse bem-sucedido em sua exploração, o atacante conseguiria colocar na máquina vítima arquivos que fariam mineração de criptomoedas, consumindo o processamento do servidor atacado. As possibilidades de uso malicioso dessas duas vulnerabilidades (“Execução de código remoto” e de “Escrita remota de arquivos”) são muito grandes.
O WannaCry, malware que fez grande estrago em 2017 ao “sequestrar” computadores e pedir resgate, utilizava uma vulnerabilidade desse tipo. As máquinas vítimas poderiam ser utilizadas para qualquer fim, desde a mineração de cryptomoedas até o uso em outras invasões, sem que seus donos tivessem conhecimento do fato.
Os ataques que identifiquei foram originados em diferentes endereços, utilizando técnicas similares, o que pode indicar a responsabilidade de grupos diferentes utilizando as mesmas falhas para os mesmos fins, ou adaptações dos ataques, buscando se aprimorar.
Mesmo que essas vulnerabilidades sejam encontradas neste caso em um produto popular na Ásia, fica aqui o alerta: os robôs (computadores que fazem tarefas automatizadas) estão ativos na internet procurando novas vítimas para esse e para outros sistemas.
A regra básica para a prevenção desse e de outros tipos de ataques é manter sempre os ambientes atualizados.
A detecção prévia desse e de outros ataques semelhantes é baseada em análise dos registros de atividades (log) dos servidores WEB, por assinaturas ou em buscando-se outros sinais estranhos. Caso o ambiente já tenha sido comprometido, a detecção pode ocorrer com a análise de conexões e comunicações para destinos e portas não-padrão.
A boa notícia aqui é que a grande maioria dos softwares antimalware são capazes de detectar os programas de mineração de cryptomoedas, visto aqui como malwares. A recomendação básica é ter um software antimalware instalado e manter seus sistemas e softwares atualizados.
No caso de suspeita de problemas, é recomendável procurar ajuda especializada em serviços gerenciados, análise e correlação de eventos e resposta a incidentes.
Fig.1: Exemplo de logs de alguns equipamentos
*Fernando Amatte é diretor de Ciberinteligência da Cipher, uma empresa do grupo Prosegur
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…