Analysis

Managed Services atacados por ransomware

Um ‘gang’ de ransomware atacou pelo menos três Providers de Managed Services (MSP) e implantou o ransomware Sodinokibi em sistemas dos clientes

24/06/2019

Managed Services atacados por ransomware

Hackers entraram em MSPs e usaram a consola Webroot SecureAnywhere para infetar os PCs dos clientes com o ransomware Sodinokibi. O problema foi relatado pela primeira vez na secção dedicada a MSPs do Reddit. Kyle Hanslovan, CEO do Huntress Lab, ajudou, na plataforma, alguns dos queixosos a investigar os incidentes.

Hanslovan referiu que os atacantes acederam aos serviços de MSPs através de RDP (Remote Deskpot Endpoints) e ganharam privilégios dentro dos sistemas comprometidos, desinstalando antivírus como o ESET e Webroot.

O passo seguinte foi a procura de contas no Webroot SecureAnywhere, onde os hackers usaram a consola para executar um script Powershell, que fez o download e instalação do Sodinokibi.

A Webroot começou a forçar autenticação em dois fatores para as contas SecureAnywhere, apesar de essa função não ser ativada por defeito. Chad Bacher, da Webroot, disse à ZDNet que “para assegurar a melhor proteção da nossa comunidade, decidimos tornar a autenticação por dois fatores obrigatória”.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.