A Avast divulgou intrusões de rede que duram meses e o alvo são contas de usuário esquecidas ou desconhecidas que concediam acesso remoto a sistemas internos com pouco mais de uma senha. A empresa divulgou em seu blog que em 23 de setembro identificou um comportamento suspeito em sua rede e iniciou uma investigação em parceria com a agência de inteligência tcheca, Security Information Service (BIS), e uma equipe forense externa.
As evidências apontaram para atividade no MS ATA/VPN. O usuário, cujas credenciais foram aparentemente comprometidas e associadas ao IP, não tinha privilégios de administrador de domínio, mas conseguiu obter privilégios de administrador de domínio. A conexão foi feita a partir de um IP público hospedado fora do Reino Unido. O atacante também usava outros pontos de extremidade através do mesmo provedor de VPN. A avast identificou que as tentativas de acessos iniciaram em 14 de maio deste ano.
No blog, a empresa publicou a cronologia das atividades suspeitas. Paralelamente, a Avast executou medidas proativas para proteger os usuários finais. A suspeita era que o CCleaner era o alvo provável. Em 25 de setembro, as versões do CCleaner foram suspensas e as versões anteriores verificadas, e não houve nenhuma alteração maliciosa. A empresa informou que os usuários do CCleaner estão protegidos e não são afetados. Todas as credenciais de usuário interno foram redefinidas. ?
Edited by Bruna Chieco
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.