Analysis
Um ‘gang’ de ransomware atacou pelo menos três Providers de Managed Services (MSP) e implantou o ransomware Sodinokibi em sistemas dos clientes
24/06/2019
Hackers entraram em MSPs e usaram a consola Webroot SecureAnywhere para infetar os PCs dos clientes com o ransomware Sodinokibi. O problema foi relatado pela primeira vez na secção dedicada a MSPs do Reddit. Kyle Hanslovan, CEO do Huntress Lab, ajudou, na plataforma, alguns dos queixosos a investigar os incidentes. Hanslovan referiu que os atacantes acederam aos serviços de MSPs através de RDP (Remote Deskpot Endpoints) e ganharam privilégios dentro dos sistemas comprometidos, desinstalando antivírus como o ESET e Webroot. O passo seguinte foi a procura de contas no Webroot SecureAnywhere, onde os hackers usaram a consola para executar um script Powershell, que fez o download e instalação do Sodinokibi. A Webroot começou a forçar autenticação em dois fatores para as contas SecureAnywhere, apesar de essa função não ser ativada por defeito. Chad Bacher, da Webroot, disse à ZDNet que “para assegurar a melhor proteção da nossa comunidade, decidimos tornar a autenticação por dois fatores obrigatória”. |