Um novo ransomware, Nokoyama, está atacando vulnerabilidades no servidor do Microsoft Exchange, segundo informações da ISH Tecnologia, empresa especializada em cibersegurança. O vírus é ligado provavelmente ao grupo Hive, notório por atingir mais de 300 empresas em apenas quatro meses no ano passado.

“A associação se dá pelo fato de os dois grupos compartilharem uma mesma infraestrutura, além do uso de mecanismos semelhantes nos ataques”, explica Alexandre Siviero, especialista em cibersegurança da ISH Tecnologia, em comunicado à imprensa.

publicidade

Ainda segundo a companhia, a maioria dos ataques está direcionada à América do Sul, especialmente Argentina e Brasil. Grande parte dos incidentes também parece nascer de emails com phishing — informações e/ou anexos supostamente legítimos, mas que se revelam golpes ocultos.

O ransomware ataca as máquinas a partir de três vulnerabilidades, todas ligadas ao servidor do Microsoft Exchange, aplicação provedora de emails. Após a infiltração, o primeiro passo é desativar o antivírus para então instalar os vírus que roubam dados. Segundo a ISH, as informações são vendidas, então, em serviços anônimos, como Megasync, Anonfiles, SendSpace e uFile. Esta é uma forma de dificultar o rastreamento.

Dados da ISH revelam que a ameaça dos ransomwares ainda é enorme. De acordo com a empresa, o ano de 2021 se encerrou com uma incidência de 54% desse tipo de ataque em relação a 2020.

Para se prevenir de ransomware, Siviero frisa que não há “balas de prata”, mas um conjunto de práticas para proteger a máquina e a companhia. Ele cita a necessidade de backups frequentes, a atualização de softwares e hardwares e a implementação do MFA (múltiplo fator de autenticação). “Treinamentos aos colaboradores em técnicas de engenharia social também são sempre válidos”, ressalta o especialista.

Exchange enfrenta bugs desde 2020

Nos últimos anos, o Microsoft Exchange tem sido vulneráveis a falhas e ataques de vírus. Em 2020, mais de 247 mil servidores na plataforma ficaram vulneráveis a execução remota do código de pós-autenticação CVE-2020-0688. Um pouco antes, a própria empresa americana chegou a abordar a falha de segurança como parte de um patch de atualização, sugerindo que o problema era um alvo atraente para ataques.

Posteriormente, no início deste ano, um bug no Microsoft Exchange provocou uma falha de processamento de datas que travava a ferramenta de escaneamento de malwares. Com isso, vários e-mails e mensagens ficaram paradas em filas de transporte nos servidores 2016 e 2019 do aplicativo da Microsoft.

Crédito da imagem principal: Sashkin/Shutterstock

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!