Continuam a surgir novas informações no rescaldo dos ataques aos servidores SharePoint que ocorreram no último fim-de-semana. Tratou-se da exploração de uma vulnerabilidade zero-day, que a Microsoft tratou de corrigir rapidamente, mas as organizações que não fizerem as atualizações com muita urgência continuam vulneráveis, com consequências desastrosas. Sabe-se que as vulnerabilidades afetaram organizações governamentais, universidades, empresas de energia e de telecomunicações asiáticas. Os países mais afetados foram os Estados Unidos e a Alemanha

A Microsoft também já tinha apontado os ataques a organizações chinesas financiadas por Pequim. A gigante tecnológica diz que “observou dois atores chineses, a Linen Typhoon e a Violet Typhoon a explorar estas vulnerabilidades, mirando os servidores SharePoint”. Salienta ainda um terceiro grupo chinês, conhecido como Storm-2603, igualmente a explorar as vulnerabilidades dos seus servidores.

Microsoft alerta para ataques ativos a software de servidores utilizados por agências do governo e empresas
Microsoft alerta para ataques ativos a software de servidores utilizados por agências do governo e empresas
Ver artigo

É exatamente sobre o Storm-2603 que a Microsoft destaca como potencial perigoso. Na atualização do blog sobre o assunto, a gigante tecnológica diz que numa análise alargada à inteligência de ameaças do seu sistema de monitorização de exploração de vulnerabilidades, este grupo poderá estar a lançar ataques de ransomware. A empresa diz que, baseado nesta informação, fez uma atualização nos indicadores de compromisso e clarificou os guias de mitigação e proteção contra malware.  

Relativamente aos grupos de hackers envolvidos nos ataques, a Microsoft destaca que desde 2012 que a Linen Typhoon se focou em roubar propriedade intelectual, mirando sobretudo organizações ligadas ao governo, defesa, planeamento estratégico e direitos humanos. A Violet Typhoon opera desde 2015 como um grupo dedicado a espionagem, acedendo primariamente a ex-funcionários militares ou do governo, ONGs, educação superior, imprensa digital e impressa, sectores das finanças e saúde localizados nos Estados Unidos, Europa e Ásia ocidental.

Já o grupo Storm-2603 já tinha sido associado a ataques de ransomware através de Warlock e Lockbit. O Warlock, segundo a WatchGuard, é um ransomware que visa o ataque de criptomoedas, com táticas de extorsão e publicação de dados. Depois de infetado, o Warlock encripta os dados para os tornar inacessíveis, pedindo depois um resgate em troca da chave para desencriptar os ficheiros. 

Microsoft diz que os servidores SharePoint foram atacados por grupos chineses
Microsoft diz que os servidores SharePoint foram atacados por grupos chineses
Ver artigo

Em Portugal, foi registado um ataque com o Warlock à Entidade Reguladora dos Serviços de Água e Resíduos (ERSAR) no dia 31 de março, tendo causado uma disrupção significativa nos seus sistemas de informação, deixando o seu portal indisponível, aponta a Security Magazine.   

No ataque zero-day sofrido pela Microsoft, os hackers exploraram uma vulnerabilidade que ainda não era conhecida anteriormente. É referido pelos analistas como perigoso mesmo depois de corrigido, uma vez que podem ter deixado potencialmente uma entrada de fundo para acesso contínuo às organizações atingidas. O acesso a estes servidores, muitas vezes ligados a emails do Outlook, Teams e outros serviços, permite o roubo de dados sensíveis, assim como palavras-passe.