Os pesquisadores de segurança cibernética da empresa Qualys, sediada na Califórnia, publicaram um relatório no qual analisaram vulnerabilidades e exposições comuns (CVEs). Os resultados mostraram principalmente aqueles usados em ataques de ransomware nos últimos anos. O interessante é que a maioria das vulnerabilidades mais usadas foram aquelas que foram deixado sem correção.
“A taxa em que as vulnerabilidades estão aumentando é exponencialmente maior do que a taxa em que as equipes de operações estão corrigindo. Este é o principal fator para explicar por que as vulnerabilidades permanecem sem correção,” Shailesh Athalye, Vice-presidente sênior de gerenciamento de produtos da Qualys, disse em uma entrevista com ZDNet.1
Vulnerabilidades obsoletas permanecem sem correção
Basicamente, as equipes de segurança muitas vezes não têm tempo para muitas vulnerabilidades ao mesmo tempo. Eles simplesmente ficam sobrecarregados com a quantidade de trabalho, especialmente se for uma grande empresa. Os atacantes cibernéticos sabem disso e procuram ativamente por vulnerabilidades antigas não corrigidas. Ainda, especialistas em segurança cibernética argumentam que essas vulnerabilidades comumente conhecidas devem ser alcançadas primeiro para.
De acordo com o relatório, a principal vulnerabilidade que tem a mais longa história de exploração é CVE-2012-1723. Especialistas em segurança cibernética encontraram no Java Runtime Environment (JRE) componente no Oracle Java SE 7. Detectado pela primeira vez em 2012 hackers usaram para distribuir o ransomware Urausy. Embora este ransomware em particular possa não causar tanto dano, algumas organizações ainda são vulneráveis a isso.
Duas outras vulnerabilidades detectadas datam de 2013. Eles são CVE-2013-0431 e CVE-2013-1493. O primeiro foi explorado no JRE por Reveton ransomware, o segundo está no Oracle Java by Exxroute ransomware. Para ambas as vulnerabilidades, os patches para corrigi-los estão prontos há mais de oito anos. CVE-2018-12808 é outra vulnerabilidade que está presente no Adobe Acrobat há três anos. Os hackers o usaram para entregar ransomware por meio de e-mails de phishing e arquivos PDF maliciosos. Os ransomware Conti e Ryuk exploraram esta vulnerabilidade.
Vulnerabilidade recente CVE-2019-1458 criou escalonamento de privilégios no Windows. Especialistas em segurança cibernética detectaram em dezembro 2019 e vinculou sua exploração ao grupo de ransomware NetWalker.
Como os distribuidores de ransomware usam exploits antigos?
Sem dúvida, o ecossistema criminoso de ransomware está em ascensão em 2021. No relatório do 2020 CrowdStrike Global Security Attitude Survey, 56% de organizações em todo o mundo foram vítimas de um ataque de ransomware em 2020. Fora dessas organizações, 27% deles optaram por pagar seus resgates e isso equivale, em média, $1.1 milhões por caso. Ransomware ainda é uma das ameaças de alta prioridade em 2021. Os casos mais barulhentos no primeiro trimestre do ano relatam demandando até $50 milhão – e eles conseguiram esta soma. Outra família pediu € 70 milhões, mas a empresa vítima ignorou suas demandas.
Os especialistas em segurança cibernética também notaram que os hackers usam um “extorsão dupla” modelo. Eles criptografam os dados da vítima e também exigem incentivos de pagamento adicionais para aumentar a pressão. Alguns hackers ameaçam publicar ou leiloar os dados, a menos que o pagamento seja feito.
