DragonForce Malaysia Group lança o Windows LPE Exploit e se volta para táticas de ransomware
Pesquisadores de segurança da CloudSEK identificaram uma nova exploração do grupo hacktivista DragonForce Malaysia capaz de executar ações de LPE (local Privilege Scale) e LDR (local distribution router) dos servidores Windows em servidores indianos.
O ataque teria sido ilustrado em um vídeo PoC (prova de conceito) no início deste mês e posteriormente analisado pela CloudSEK em um comunicado divulgado na quinta-feira.
Os especialistas em segurança cibernética disseram que usaram a plataforma de monitoramento de risco digital de inteligência artificial contextual (IA) da empresa XVigil para identificar uma postagem em um canal do Telegram onde o grupo de hacktivistas postou o vídeo descrevendo a exploração.
O grupo hacktivista pró-palestino com sede na Malásia publicou a postagem em 23 de junho de 2022 e atribuiu a nova exploração a um agente de ameaças chamado “impossible1337”.
No mesmo vídeo, a DragonForce Malaysia também anunciou planos de se converter em um grupo de ransomware. Em seguida, republicou as alegações em outros canais de mídia social e sites.
“O grupo publicou um blog em seu site oficial, anunciando assim seus planos de realizar ataques de disseminação em massa e ransomware”, escreveu CloudSEK. “Após a postagem do blog, uma quantidade significativa de conversas foi observada no Twitter, que recebeu muitas críticas.”
De acordo com os pesquisadores de segurança, o objetivo principal do ataque era “se vingar do governo indiano por comentários controversos sobre o profeta Muhammad por alguns políticos indianos”.
Para mitigar o impacto da nova vulnerabilidade, a CloudSEK aconselhou empresas e instituições sediadas na Índia a corrigir os servidores Windows atualizando todos os softwares para a versão mais recente disponível ou, alternativamente, “recorrer às soluções alternativas mais recentes fornecidas pelo fornecedor”.
Além disso, a empresa disse que os administradores de sistema devem auditar e monitorar anomalias nas redes que possam ser indicadores de possível comprometimento.
Como as informações técnicas sobre a exploração impossível1337 ainda não estão disponíveis publicamente, não está claro no momento da redação deste artigo se a atualização dos sistemas será suficiente para se defender contra o ataque.
A Infosecurity Magazine entrou em contato com a Microsoft e atualizará este artigo com qualquer resposta deles.