São Paulo — InkDesign News — Um novo relatório da empresa de segurança cibernética GuidePoint Security revela um método sofisticado utilizado pelo grupo de ransomware Akira para atacar redes corporativas, explorando vulnerabilidades em dispositivos SonicWall VPN desde julho de 2023.
Incidente e vulnerabilidade
Os pesquisadores identificaram que os hackers ganham acesso inicial ao explorar vulnerabilidades em SonicWall VPNs, que incluem a exploração de falhas graves como CVE-2023-XXXX. Após a invasão, os atacantes utilizam dois drivers específicos para desativar silenciosamente ferramentas de segurança, uma etapa crucial antes da implantação do ransomware.
Um dos drivers, denominado rwdrv.sys, é um arquivo legítimo de uma ferramenta de desempenho para CPUs Intel, mas os atacantes o reaproveitam para obter acesso a nível de kernel no dispositivo afetado. O segundo driver, hlpdrv.sys, é malicioso e tem como função específica desativar o Windows Defender, o antivírus embutido no sistema operacional.
Impacto e resposta
A utilização destes drivers permite que os atacantes ocultem suas atividades, tornando as defesas de segurança ineficazes. O grupo Akira já é conhecido por campanhas anteriores, como a exploração de fraquezas em produtos VPN da Cisco e tentativas de phishing por meio de um bot que gera mensagens de spam personalizadas. As empresas impactadas enfrentaram riscos sérios de comprometimento de dados enquanto as medidas de contenção exigiram uma rápida resposta dos profissionais de segurança.
“As empresas devem priorizar a detecção rápida e a resposta a estas atividades maliciosas para evitar danos maiores.”
(“Companies must prioritize quick detection and response to these malicious activities to prevent greater damage.”)— Especialista em Segurança, GuidePoint Security
Mitigações recomendadas
A GuidePoint Security recomenda que os profissionais de segurança busquem ativamente os dois drivers mencionados em seus sistemas e implementem uma regra especial denominada YARA, que ajuda a escanear e identificar padrões únicos desses drivers malignos. Além disso, a SonicWall sugeriu a adoção de autenticação multifatorial (MFA) e a limitação de acessos VPN para aumentar a segurança.
“É vital que todas as serviços de segurança estejam habilitados para garantir uma proteção mais rígida.”
(“It is vital that all security services are turned on to ensure tighter protection.”)— Representante da SonicWall
Mesmo com as medidas recomendadas, riscos residuais persistem, e as empresas devem manter-se vigilantes frente a novas ameaças cibernéticas. A adaptação constante das estratégias de segurança será crucial para mitigar futuras incursões.
Fonte: (Hack Read – Segurança Cibernética)
