Microsoft bloqueia malware Sunburst na raiz do hack SolarWinds
A Microsoft está agora bloqueando o backdoor Sunburst usado no ataque cibernético SolarWinds que já fez inúmeras vítimas em todo o mundo.
O backdoor Sunburst é um recurso-chave do ataque contínuo à cadeia de suprimentos, e o lançamento de uma assinatura global de malware deve reduzir consideravelmente a ameaça.
O que é o ataque cibernético SolarWinds?
Em dezembro de 2020, várias agências governamentais dos EUA anunciaram que foram vítimas de uma extensa operação de hacking. A porta dos fundos para o ataque foi inserida usando uma atualização maliciosa por meio do software de gerenciamento de TI e monitoramento remoto SolarWinds Orion.
No momento em que este artigo foi escrito, o hack da SolarWinds reivindicou o Tesouro dos EUA, junto com os Departamentos de Segurança Interna, Estado, Defesa e Comércio como vítimas, com potencial para mais revelações.
A verdadeira extensão do ataque SolarWinds ainda não é conhecida. Em declarações à BBC , o pesquisador de segurança cibernética, Prof Alan Woodward, disse: "Pós-Guerra Fria, esta é uma das potencialmente maiores penetrações de governos ocidentais que conheço."
O que é a porta traseira do Sunburst?
Um ataque tão vasto levou meses, senão anos de planejamento. O ataque foi iniciado com a entrega de uma atualização mal-intencionada não descoberta para o software SolarWinds Orion.
Sem o conhecimento do SolarWinds e de seus usuários, muitos dos quais são departamentos do governo, um agente de ameaça infectou uma atualização.
A atualização foi lançada para pelo menos 18.000 e potencialmente até 300.000 clientes. Quando ativada, a atualização acionou uma versão trojanizada do software Orion, permitindo que o invasor acesse o computador e a rede mais ampla.
Esse processo é conhecido como ataque à cadeia de suprimentos. O hack foi descoberto pela FireEye, que foi vítima de uma violação de dados de alto perfil relacionada em dezembro de 2020.
O resumo do relatório FireEye diz:
Os atores por trás dessa campanha tiveram acesso a inúmeras organizações públicas e privadas em todo o mundo. Eles obtiveram acesso às vítimas por meio de atualizações trojanizadas para o software de gerenciamento e monitoramento de TI Orion da SolarWind. Esta campanha pode ter começado na primavera de 2020 e atualmente está em andamento. A atividade pós-comprometimento seguindo este comprometimento da cadeia de suprimentos incluiu movimento lateral e roubo de dados.
Sunburst, então, é o nome que a FireEye usa para rastrear o ataque cibernético e o nome dado ao malware distribuído por meio do software SolarWinds.
Como a Microsoft está bloqueando o backdoor Sunburst?
A Microsoft está implementando detecções para suas ferramentas de segurança. Assim que a assinatura do malware for implementada no Windows Security (antigo Windows Defender), os computadores que executam o Windows 10 terão proteção contra o malware.
De acordo com o blog da Equipe de Inteligência de Ameaças de Defesa do Microsoft 365 :
A partir de quarta-feira, 16 de dezembro, às 8h PST, o Microsoft Defender Antivirus começará a bloquear os binários SolarWinds maliciosos conhecidos. Isso colocará o binário em quarentena, mesmo se o processo estiver em execução.
A Microsoft também oferece as seguintes etapas de segurança adicionais se você encontrar o malware Sunburst:
- Isole imediatamente o dispositivo ou dispositivos infectados. Se você encontrar o malware Sunburst, é provável que seu dispositivo esteja sob o controle de um invasor.
- Se alguma conta foi usada no dispositivo infectado, você deve considerá-la comprometida. Redefina qualquer senha relacionada à conta ou cancele totalmente a conta.
- Se possível, comece investigando como o dispositivo foi comprometido.
- Se possível, comece a pesquisar indicadores de que o malware foi transferido para outros dispositivos, conhecido como movimento lateral.
Para a maioria das pessoas, as duas primeiras etapas de segurança são as mais importantes. Você também pode encontrar mais informações de segurança no site da SolarWinds .
Não há confirmação da identidade dos atacantes, mas acredita-se que o trabalho seja de uma equipe de hackers de estado-nação altamente sofisticada e com bons recursos.
