Cibercriminosos estão explorando a falha crítica no React, detectada no início de dezembro, para ataques com o ransomware Weaxor, conforme revelou a consultoria de inteligência e cibersegurança S-RM na última terça-feira (16). A campanha maliciosa mira redes corporativas que podem ser criptografadas para pedidos de resgate.
Trata-se da primeira operação com motivações financeiras associadas à vulnerabilidade React2Shell, como destaca a empresa. Anteriormente, a brecha já havia sido explorada em ataques de ciberespionagem, implantação de diversos tipos de malwares e até mineração de criptomoedas.
Ataque rápido e eficiente
De acordo com o relatório, os invasores agiram rapidamente na implantação da criptografia após obterem acesso ao sistema da vítima por meio da falha de alta gravidade no React. Eles executaram um comando PowerShell, estabelecendo comunicação e controle à distância.
- Em seguida, desativaram a proteção em tempo real no Windows Defender, preparando o ambiente para cargas secundárias;
- Todas essas etapas aconteceram em menos de um minuto após o acesso inicial, conforme os pesquisadores que detectaram o ataque;
- Após a criptografia, o sistema recebeu banners com uma nota de resgate, trazendo informações a respeito do pagamento;
- Os invasores apagaram todos os logs da ação, para dificultar a identificação, e excluíram cópias dos arquivos da empresa, impedindo a restauração.
Segundo a investigação, o ataque com o ransomware Weaxor se limitou ao servidor afetado pela vulnerabilidade React2Shell, já que não foi observada nenhuma movimentação lateral no sistema. Também não há evidências de que os cibercriminosos tenham tentado roubar dados.
Especula-se que a campanha tenha sido automatizada, devido à velocidade em que os arquivos foram comprometidos. Os especialistas identificaram, ainda, provas de que o servidor sofreu outros tipos de violações, na sequência, explorando a mesma falha crítica.
Ransomware Weaxor
Detectado pela primeira vez em 2024, o agente malicioso é considerado uma nova variante da operação Mallox/FARGO, também conhecida como TargetCompany. O Mallox está ativo desde 2021 e normalmente é utilizado em ataques a servidores Microsoft SQL desprotegidos.
O ransomware Weaxor está associado a campanhas menos sofisticadas, geralmente mirando servidores web públicos, com pedidos de resgate relativamente baixos. Ele não possui portal de vazamento de dados na dark web nem é comercializado como serviço, ao contrário do antecessor.
Curtiu o conteúdo? Siga acompanhando o TecMundo e compartilhe as notícias com os amigos nas redes sociais.