{"id":12167,"date":"2019-08-05T17:19:26","date_gmt":"2019-08-05T20:19:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12167"},"modified":"2019-11-22T07:01:31","modified_gmt":"2019-11-22T10:01:31","slug":"sodin-msp-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/","title":{"rendered":"Sodin: o ransomware que se espalha pelos MSPs"},"content":{"rendered":"<p>No final de mar\u00e7o, <a href=\"https:\/\/www.kaspersky.com.br\/blog\/msp-as-a-threat-vector\/11610\/\" target=\"_blank\" rel=\"noopener\">escrevemos<\/a> sobre o ataque ao clientes de MSPs pelo ransomware GandCrab, achamos improv\u00e1vel que fosse um caso isolado. Provedores de servi\u00e7os gerenciados s\u00e3o muito tentadores para serem ignorados por cibercriminosos.<\/p>\n<p>Infelizmente, parece que est\u00e1vamos certos. Em abril, o ransomware Sodin chamou a aten\u00e7\u00e3o de nossos especialistas. Ao contr\u00e1rio dos outros, al\u00e9m de usar as falhas nos sistemas de seguran\u00e7a dos MSPs, explorou tamb\u00e9m as vulnerabilidades da plataforma Oracle WebLogic. Inclusive, na maioria das vezes, o ransomware precisa de alguma a\u00e7\u00e3o da v\u00edtima em algum momento (por exemplo, iniciar um arquivo localizado em um e-mail de phishing), mas neste caso n\u00e3o houve necessidade.<br>\nNeste <a href=\"https:\/\/securelist.com\/sodin-ransomware\/91473\/\" target=\"_blank\" rel=\"noopener\">artigo do Securelist<\/a>, voc\u00ea encontrar\u00e1 mais informa\u00e7\u00f5es t\u00e9cnicas sobre o ransomware. Do nosso ponto de vista, a coisa mais interessante sobre ele \u00e9 a forma de distribui\u00e7\u00e3o.<\/p>\n<h2>Os m\u00e9todos de distribui\u00e7\u00e3o do Sodin<\/h2>\n<p>Para espalhar o malware pelo <a href=\"https:\/\/threatpost.com\/new-sodinokibi-ransomware-exploits-critical-oracle-weblogic-flaw\/144233\/\" target=\"_blank\" rel=\"noopener nofollow\">WebLogic<\/a>, os cibercriminosos exploraram a vulnerabilidade CVE-2019-2725 para executar um comando do PowerShell em um servidor vulner\u00e1vel do Oracle WebLogic. Isso permitiu que carregassem um dropper no servidor, que posteriormente instalou a carga: o Sodin. As patches que solucionaram esse erro foram lan\u00e7adas em abril, mas no final de junho uma vulnerabilidade semelhante foi descoberta: CVE-2019-2729.<\/p>\n<p>Nos ataques que usam MSPs, o Sodin \u00e9 introduzido nos dispositivos dos usu\u00e1rios de v\u00e1rias maneiras. Usu\u00e1rios de pelo menos tr\u00eas provedores j\u00e1 sofreram as consequ\u00eancias da invas\u00e3o deste Trojan. De acordo com este <a href=\"https:\/\/www.darkreading.com\/attacks-breaches\/attackers-exploit-msps-tools-to-distribute-ransomware\/d\/d-id\/1335025\" target=\"_blank\" rel=\"noopener nofollow\">artigo do DarkReading<\/a>, em alguns casos, os cibercriminosos usaram os consoles de acesso remoto Webroot e Kaseya para enviar o Trojan. Em outros casos, <a href=\"https:\/\/www.reddit.com\/r\/msp\/comments\/c2wls0\/kaseya_weaponized_to_deliver_sodinokibi_ransomware\/\" target=\"_blank\" rel=\"noopener nofollow\">segundo relato no Reddit<\/a>, os golpistas penetraram na infraestrutura do MSP por meio de uma conex\u00e3o RDP, aumentaram seus privil\u00e9gios, desativaram as solu\u00e7\u00f5es de seguran\u00e7a e c\u00f3pias de backups e baixaram o ransomware para os computadores dos clientes.<\/p>\n<h2>O que deveriam fazer os provedores de servi\u00e7os?<\/h2>\n<p>Primeiro, o armazenamento de senhas usadas para acesso remoto deve ser levado muito a s\u00e9rio e a autentica\u00e7\u00e3o de dois fatores deve ser usada sempre que poss\u00edvel. Os consoles de acesso remoto Kaseya e Webroot suportam esse tipo de autentica\u00e7\u00e3o. Al\u00e9m disso, ap\u00f3s o incidente, os desenvolvedores come\u00e7aram a exigir seu uso. Como podemos ver, os cibercriminosos que distribuem Sodin n\u00e3o esperam pela oportunidade perfeita, mas deliberadamente buscam v\u00e1rios m\u00e9todos para distribuir o malware por meio dos provedores de servi\u00e7os gerenciados. Portanto, \u00e9 necess\u00e1rio monitorar todas as ferramentas utilizadas neste \u00e2mbito. Como sempre dissemos, o acesso RDP deve ser usado como \u00faltimo recurso.<\/p>\n<p>Os MSPs e, acima de tudo, aqueles que oferecem servi\u00e7os de ciberseguran\u00e7a, devem levar ainda mais a s\u00e9rio a prote\u00e7\u00e3o de sua infraestrutura do que a de seus clientes. E \u00e9 isso que a <a href=\"https:\/\/www.kaspersky.com.br\/partners\/managed-service-provider?redef=1&amp;reseller=gl_kdmsp_acq_ona_smm__onl_b2b__wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky oferece<\/a> para a prote\u00e7\u00e3o de seus MSPs e de seus clientes.<\/p>\n<h2>O que as demais companhias poderiam fazer?<\/h2>\n<p>Obviamente, atualizar o software \u00e9 de suma import\u00e2ncia. Uma invas\u00e3o por malware em sua infraestrutura por meio de vulnerabilidades conhecidas e resolvidas h\u00e1 meses pode ser um caso muito embara\u00e7oso, j\u00e1 que poderia ter sido evitado.<\/p>\n<p>As empresas que usam o Oracle WebLogic devem primeiro consultar as recomenda\u00e7\u00f5es de seguran\u00e7a da Oracle para as vulnerabilidades <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2725-5466295.html\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2019-2725<\/a> e <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2729-5570780.html\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2019-2729<\/a>.<\/p>\n<p>Al\u00e9m disso, \u00e9 fundamental utilizar [KESB Placeholder] solu\u00e7\u00f5es de seguran\u00e7a confi\u00e1veis [KESB placeholders] com subsistemas de detec\u00e7\u00e3o de ransomware e de prote\u00e7\u00e3o para as esta\u00e7\u00f5es de trabalho.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ransomware usa a infraestrutura dos provedores de servi\u00e7os gerenciados ou a vulnerabilidade do Oracle Weblogic para infectar e criptografar os sistemas das v\u00edtimas.<\/p>\n","protected":false},"author":2506,"featured_media":12168,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1656],"tags":[1185,2020,83],"class_list":{"0":"post-12167","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-business","11":"tag-msp-smb","12":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sodin-msp-ransomware\/16108\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sodin-msp-ransomware\/13616\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sodin-msp-ransomware\/18005\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sodin-msp-ransomware\/16142\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sodin-msp-ransomware\/23051\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sodin-msp-ransomware\/6113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sodin-msp-ransomware\/27530\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sodin-msp-ransomware\/10922\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sodin-msp-ransomware\/23581\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sodin-msp-ransomware\/18638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sodin-msp-ransomware\/22925\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sodin-msp-ransomware\/22866\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/12167","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=12167"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/12167\/revisions"}],"predecessor-version":[{"id":12651,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/12167\/revisions\/12651"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/12168"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=12167"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=12167"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=12167"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}