Ao acompanhar as notícias sobre ciberataques, temos a sensação de que todos os dias grandes empresas são alvos de violações de dados sem precedentes, capazes de fazer suas fortunas e preços de ações despencarem. No entanto, muitos ataques são mais mundanos, envolvendo malwares. A equipe SophosLabs rastreou e criou uma lista de “mais procurados”. Alguns são facilmente contidos, mas todo ataque carrega consigo o potencial de ficar muito pior se não for tratado de forma rápida e eficaz.
ATAQUES DIRECIONADOS A SERVIDORES WINDOWS E LINUX
Embora a grande maioria dos incidentes de segurança aos quais respondemos em 2020 envolvessem desktops ou laptops executando variações do Windows, vimos um aumento constante nos ataques a servidores Windows e não Windows. Em geral, os servidores há muito tempo são alvos de ataques por uma série de razões: costumam ser executados por longos períodos sem supervisão ou monitorados; os servidores geralmente carregam mais capacidade de CPU e memória do que laptops individuais; e os servidores podem ocupar um espaço privilegiado na rede, muitas vezes tendo acesso aos dados mais confidenciais e valiosos na operação de uma organização.
Essas características não mudarão em 2021 e a Sophos prevê que o volume de ataques direcionados aos servidores continuará a aumentar. A maioria dos ataques se encaixa nos perfis de ransomware, criptominadores e exfiltração de dados.
CRYPTOJACKING
Os ataques de cryptojoker são uma forma de recente de malwares que tendem a visar uma gama mais ampla de vulnerabilidades no Windows e em aplicativos que normalmente são executados em hardware de servidor, como software de banco de dados.
Por exemplo, um ataque de força bruta contra servidores voltados para a Internet executando o Microsoft SQL Server. Depois que os invasores possuem a senha correta do banco de dados, eles usam o próprio banco de dados para remontar a carga do cryptojacker, gravá-la no sistema de arquivos do servidor e executá-la. A máquina infectada então tenta explorar as vulnerabilidades EternalBlue e / ou SMBGhost em uma tentativa de espalhar o vírus.
Lemon_Duck é um criptominerador potente para atacar Linux. Este malware tenta usar senhas SSH de força bruta obtidas de uma lista relativamente pequena. Se forem bem-sucedidos, os invasores carregam um código de shell malicioso, que estabelece persistência aproveitando as brechas em um serviço chamado Redis.
ATAQUES A SERVIDORES PARA ROUBO DE DADOS
Ocasionalmente, os invasores têm como alvo os servidores porque, em vez de um dia de pagamento rápido ou um fluxo constante de criptomoedas, eles desejam roubar dados de valor armazenados neles. Em 2020, a Sophos descobriu um atacante visando servidores Linux usando malware que chamamos de Cloud Snooper. Os servidores em questão eram hospedados em um cluster de computação em nuvem e evitavam a detecção inventando um sistema inteligente de retransmissão de mensagens, pegando carona em suas mensagens de comando e controle em conexões HTTP de rotina.
Fonte: https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophos-2021-threat-report.pdf
Posts recentes