A Microsoft agora está bloqueando o backdoor Sunburst usado no ataque cibernético SolarWinds que já fez inúmeras vítimas em todo o mundo.

O backdoor Sunburst é um recurso-chave do ataque contínuo à cadeia de suprimentos, e o lançamento de uma assinatura global de malware deve reduzir consideravelmente a ameaça.

O que é o ataque cibernético SolarWinds?

Em dezembro de 2020, várias agências governamentais dos EUA anunciaram que foram vítimas de uma extensa operação de hacking. A porta dos fundos para o ataque foi inserida usando uma atualização maliciosa por meio do software de gerenciamento de TI e monitoramento remoto SolarWinds Orion.

No momento em que este artigo foi escrito, o hack da SolarWinds reivindicou o Tesouro dos EUA, junto com os departamentos de Segurança Interna, Estado, Defesa e Comércio como vítimas, com potencial para mais revelações.

Relacionado: Esses especialistas em segurança estão tornando sua vida mais segura

Estes 10 especialistas em segurança estão tornando sua vida mais segura
instagram viewer

Muitos "especialistas em segurança" não têm a experiência que afirmam. Aqui estão vários especialistas em segurança que fazem e o que estão fazendo para melhorar a segurança.

A verdadeira extensão do ataque SolarWinds ainda não é conhecida. Falando com o BBC, o pesquisador de segurança cibernética Prof Alan Woodward disse: "Pós-Guerra Fria, esta é uma das maiores penetrações dos governos ocidentais que eu conheço."

O que é a porta traseira do Sunburst?

Um ataque tão vasto levou meses, senão anos de planejamento. O ataque foi iniciado com a entrega de uma atualização mal-intencionada não descoberta para o software SolarWinds Orion.

Sem o conhecimento da SolarWinds e de seus usuários, muitos dos quais são departamentos do governo, um agente de ameaça infectou uma atualização.

A atualização foi lançada para pelo menos 18.000 e potencialmente até 300.000 clientes. Quando ativada, a atualização acionou uma versão trojanizada do software Orion, permitindo que o invasor acesse o computador e a rede mais ampla.

Esse processo é conhecido como ataque à cadeia de suprimentos. O hack foi descoberto pela FireEye, que foi vítima de uma violação de dados de alto perfil relacionada em dezembro de 2020.

Relacionado: Firma líder em segurança cibernética FireEye atingida por ataque do Estado-nação

O Relatório FireEye o resumo lê:

Os atores por trás dessa campanha tiveram acesso a várias organizações públicas e privadas em todo o mundo. Eles obtiveram acesso às vítimas por meio de atualizações trojanizadas para o software de gerenciamento e monitoramento de TI Orion da SolarWind. Esta campanha pode ter começado na primavera de 2020 e atualmente está em andamento. A atividade pós-comprometimento seguindo este comprometimento da cadeia de suprimentos incluiu movimento lateral e roubo de dados.

Sunburst, então, é o nome com o qual a FireEye está rastreando o ataque cibernético e o nome dado ao malware distribuído por meio do software SolarWinds.

Como a Microsoft está bloqueando o backdoor Sunburst?

A Microsoft está implementando detecções para suas ferramentas de segurança. Assim que a assinatura do malware for implementada no Windows Security (anteriormente Windows Defender), os computadores que executam o Windows 10 terão proteção contra o malware.

Conforme Equipe do Microsoft 365 Defender Threat Intelligence blog:

A partir de quarta-feira, 16 de dezembro, às 8h PST, o Microsoft Defender Antivirus começará a bloquear os binários SolarWinds maliciosos conhecidos. Isso colocará o binário em quarentena, mesmo se o processo estiver em execução.

A Microsoft também oferece as seguintes etapas de segurança adicionais se você encontrar o malware Sunburst:

  1. Isole imediatamente o dispositivo ou dispositivos infectados. Se você encontrar o malware Sunburst, é provável que seu dispositivo esteja sob o controle de um invasor.
  2. Se alguma conta foi usada no dispositivo infectado, você deve considerá-la comprometida. Redefina qualquer senha relacionada à conta ou cancele totalmente a conta.
  3. Se possível, comece investigando como o dispositivo foi comprometido.
  4. Se possível, comece a pesquisar indicadores de que o malware foi transferido para outros dispositivos, conhecido como movimento lateral.

Para a maioria das pessoas, as duas primeiras etapas de segurança são as mais importantes. Você também pode encontrar mais informações de segurança no SolarWinds local.

Não há confirmação da identidade dos atacantes, mas acredita-se que o trabalho seja de uma equipe de hackers de estado-nação altamente sofisticada e com bons recursos.

O email
Você realmente precisa de seguro cibernético? 4 perguntas a fazer antes de obtê-lo

O seguro contra crimes cibernéticos é um setor em expansão que muitas organizações estão explorando. Mas é um investimento que vale a pena?

Tópicos relacionados
  • Segurança
  • Notícias de tecnologia
  • Windows Defender
  • Malware
  • Porta dos fundos
Sobre o autor
Gavin Phillips (708 artigos publicados)

Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf focado em criptografia, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.

Mais de Gavin Phillips

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Mais um passo…!

Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.

.