A Sophos publicou a pesquisa "Ransomware Cring explora antigo servidor ColdFusion", descrevendo um sofisticado ataque que os operadores do ransomware Cring montaram contra um alvo após hackear um servidor executando uma versão sem patch de 11 anos do software ColdFusion 9, da Adobe. A empresa usava o servidor para coletar o quadro de horários e dados contábeis da folha de pagamento e para hospedar várias máquinas virtuais. Os invasores violaram o servidor voltado para a Internet em minutos e executaram o ransomware 79 horas depois.
"Dispositivos que executam softwares vulneráveis e desatualizados são muito fáceis para cibercriminosos que procuram uma maneira simples de atingir um alvo", explicaAndrew Brandt, Pesquisador Principal da Sophos. "O ransomware Cring não é novo, mas é incomum. No incidente que investigamos, o alvo era uma empresa de serviços e tudo o que foi necessário para invadí-la foi uma máquina com acesso à internet rodando um software antigo, desatualizado e sem patch. O surpreendente é que este servidor estava em uso diário ativo. Freqüentemente, os dispositivos mais vulneráveis são máquinas inativas ou fantasmas, esquecidas ou negligenciadas quando se trata de patches e atualizações", completa.
"Mas, independentemente de qual seja o status — em uso ou inativo — os servidores voltados para a Internet sem patch são os principais alvos dos ciberataques que examinam a superfície de uma empresa em busca de pontos de entrada vulneráveis. Este é um lembrete gritante de que os administradores de TI necessitam ter um inventário preciso de todos os seus ativos conectados e não podem deixar sistemas de negócios críticos desatualizados na internet de forma pública. Se as organizações tiverem esses dispositivos em qualquer lugar de sua rede, podem ter certeza de que os ciberataques serão atraídos por eles e isso facilita a vida dos cibercriminosos".
A pesquisa da Sophos mostra que os cibercriminosos começaram escaneando o site do alvo utilizando ferramentas automatizadas e foram capazes de invadir em minutos, uma vez que identificaram que estavam executando o ColdFusion sem patch em um servidor. A Sophos descobriu ainda que, após a violação inicial, os invasores usaram técnicas bastante sofisticadas para ocultar seus arquivos, injetar código na memória e cobrir seus rastros sobrescrevendo arquivos com dados truncados ou excluindo logs e outros artefatos que os caçadores de ameaças poderiam usar em uma investigação. Os invasores também conseguiram desativar os produtos de segurança porque a funcionalidade de proteção contra adulteração foi desligada.
Os invasores postaram uma nota de resgate dizendo que eles também exfiltraram dados que estão "prontos para serem vazados caso não seja possível fazer um bom negócio".