.
Uma campanha inicial de ransomware contra organizações explorando a vulnerabilidade no servidor WS_FTP da Progress Software foi detectada esta semana por pesquisadores de segurança.
Sophos X-Ops revelado na quinta-feira, seus clientes foram alvo de criminosos que roubaram seu código de ransomware do LockBit 3.0, que vazou no ano passado, logo após a criação desta última cepa.
Os bandidos por trás da campanha provavelmente são inexperientes e não tiveram sucesso em suas tentativas. O ransomware não funcionou conforme previsto e não criptografou nenhum arquivo – a Sophos disse que seu antivírus foi capaz de bloqueá-lo – permitindo que a carga útil fosse capturada e examinada.
Isso é uma boa notícia para as vítimas pretendidas, embora pareça que o servidor WS_FTP foi explorado com sucesso e um código intermediário malicioso foi executado. Esse código tentou buscar e implantar o ransomware, que foi bloqueado.
Foi possível desenterrar a nota de resgate descartada durante ataques bem-sucedidos da carga útil do ransomware. Essa nota revelou que o grupo por trás da intrusão era o Reichsadler Cybercrime Group – uma gangue inédita cujo nome é tirado da águia encontrada em brasões de armas na Alemanha, incluindo aqueles adotados pelo regime nazista.
A nota exigia apenas 0,018 Bitcoin como pagamento para recuperar arquivos criptografados – uma quantia equivalente a menos de US$ 500.
O resgate é muito menor do que o esperado de operações cibercriminosas mais estabelecidas. LockBit afirmou esta semana em uma atualização de seu ataque ao CDW que a empresa ofereceu apenas US$ 1,1 milhão do total de US$ 80 milhões que lhe foi exigido.
É geralmente entendido que as gangues de ransomware exigirão uma taxa de cerca de 3% do valor que calculam ser a receita anual do alvo, embora esses cálculos às vezes sejam baseados em informações erradas e possam ser inflacionados incorretamente.
A localização da operação do Reichsadler Cybercrime Group não é conhecida, embora a nota de resgate estabeleça o prazo de pagamento para o horário padrão de Moscou. Isto poderia sugerir uma operação russa ou em outro país tentando disfarçar sua verdadeira localização.
A Sophos disse que foi capaz de interromper o download da carga útil do ransomware depois que o ataque acionou uma regra projetada para impedir uma tática de intrusão conhecida (técnica MITRE ATT&CK T1071.001).
Patches para as oito vulnerabilidades no WS_FTP foram lançados em 27 de setembro e os pesquisadores do Rapid7 detectaram a primeira onda de ataques explorando as vulnerabilidades três dias depois.
Evidências apontaram primeiras tentativas de exploração em massa após o lançamento do código de prova de conceito (PoC) apenas dois dias após a disponibilização dos patches, limitando severamente o tempo que as organizações afetadas tiveram para implementá-los.
A gravidade do bug de execução remota de código, combinada com a disponibilidade do código PoC, gerou grandes apelos da indústria para aplicar os patches com urgência.
A Progress Software atribuiu-lhe uma pontuação máxima de gravidade de 10, enquanto o Banco de Dados Nacional de Vulnerabilidade do NIST atribuiu-lhe uma pontuação CVSS “alta” de 8,8.
De acordo com pesquisadores da empresa de segurança Assetnote, que recebeu o crédito pela descoberta do bug, a telemetria mostrou que cerca de 2.900 hosts estavam executando o software de transferência de arquivos em 4 de outubro.
.
