O Brasil está entre os dez países mais afetados por esses ataques cibernéticos dirigidos contra governos, instituições financeiras e setor da saúde
São Paulo, 19 de janeiro de 2021 – A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, alerta para uma campanha de ciberataques que ocorre em tempo real e que visa explorar múltiplas vulnerabilidades em dispositivos Linux, incluindo algumas falhas descobertas recentemente, para criar um botnet IRC (uma coleção de máquinas infectadas com malware que pode ser controlada remotamente) e distribuir malware em computadores infectados.
Os cibercriminosos estão usando uma nova variante chamada “FreakOut”, capaz de escanear portas e que pode tirar conexão, coletar informações, rastrear redes, lançar ataques DDoS e até para criptografia de atividade de mineração em máquinas infectadas (o que pode potencialmente desligar sistemas inteiros infectados).
Se os cibercriminosos explorarem com sucesso, cada dispositivo infectado pode ser usado como uma plataforma para lançar outros ciberataques, usar recursos do sistema para minerar criptomoedas, disseminar vírus lateralmente pela rede de uma empresa ou lançar ataques contra alvos externos se passando por uma empresa afetada.
Os ataques são direcionados a dispositivos Linux que executam um dos seguintes produtos, todos com vulnerabilidades relativamente novas que são exploradas pelo malware FreakOut, se os mesmos não tiverem sido corrigidos:
• TerraMaster TOS (TerraMaster Operating System), um conhecido fornecedor de dispositivos de armazenamento de dados.
• Zend Framework, uma coleção popular de pacotes de biblioteca, usada para construir aplicativos da web.
• Liferay Portal, um portal corporativo gratuito e de código aberto com recursos para o desenvolvimento de portais e websites.
A cadeia do ciberataque FreakOut
Até o momento, os pesquisadores da Check Point conseguiram rastrear 185 sistemas infectados e detectaram mais de 380 tentativas de ataque adicionais. Por país, os Estados Unidos sofreram 27% de todas as tentativas de ataque, à frente da Itália (6,61%) e da Grã-Bretanha (5,46%), enquanto o Brasil (3,74%) está na sexta posição . Por setores, governos, instituições financeiras e saúde são os mais afetados.
Os setores mais afetados:
Os pesquisadores da Check Point ainda procuram confirmar a identidade do cibercriminoso por trás desse ataque. Eles identificaram algumas indicações que remetem a um possível hacker conhecido como “Fl0urite” ou “Freak”, o qual tem uma longa história de cibercrime. Entretanto, eles descrevem a cadeia de infecção que ocorre da seguinte forma:
• O atacante começa instalando o malware explorando três vulnerabilidades: CVE-2020-28188, CVE-2021-3007 e CVE-2020-7961.
• Em seguida, carrega e executa um script Python nos dispositivos infectados.
• Depois disso, instala o XMRig, um malware de criptomoeda popular usado para extrair ilegalmente a criptomoeda Monero.
• A partir daí, o vírus começa a se espalhar lateralmente na rede, explorando as vulnerabilidades mencionadas.
Os pesquisadores da Check Point recomendam ação imediata de correção dos três frameworks afetados, ao mesmo tempo em que orientam a implementação de ferramentas de segurança de rede, como IPS, e soluções de proteção de endpoint para prevenir esse tipo de ataque e suas consequências.
“O que identificamos é uma campanha de ciberataque em tempo real e contínua visando usuários específicos do Linux. O atacante por trás desta campanha é muito experiente em crimes cibernéticos e altamente perigoso. O fato de algumas das vulnerabilidades exploradas terem acabado de ser publicadas nos dá um bom exemplo para destacar a importância de proteger sua rede continuamente com os patches e atualizações mais recentes”, explica Adi Ikan, chefe de Pesquisa de Segurança Cibernética de Redes na Check Point Software Technologies. “
A capacidade de resposta e a urgência são muito relevantes quando se trata de proteger a sua organização. Eu recomendo fortemente a todos os usuários que corrijam os frameworks vulneráveis TerraMaster TOS, Zend Framework e Liferay Portal”, ressalta Ikan.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques. A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
©2021 Check Point Software Technologies Ltd. Todos os direitos reservados.