O conhecido especialista em segurança da informação, jornalista e autor do blog KrebsOnSecurity tornou-se repetidamente alvo de ataques e zombarias de hackers. Agora os hackers estão atacando servidores Microsoft Exchange com vulnerabilidades Proxylogon em nome de Brian Krebs.
O fato é que Krebs é famoso por suas investigações e revelações, e ao longo dos longos anos de sua carreira, ele ajudou a encontrar e desanonimizar mais de uma dúzia de criminosos, qual este último, claro, não gosto nada.
Criminosos vêm se vingando do jornalista há muitos anos. Então, os criminosos já foram enviou uma equipe SWAT para a casa de Krebs, eles pegaram um empréstimo em seu nome para $20,000, transferido $1,000 para sua conta PayPal de um cartão de pagamento roubado, e a própria conta do PayPal foi comprometida mais de uma vez. Eles até tentei transferir dinheiro de Krebs’ prestar contas ao terrorista, a subsidiária do ISIS. Após divulgação dos autores do malware Mirai IoT, Krebs’ local na rede Internet sofreu um dos ataques DDoS mais poderosos da história naquela época.
Alguns anos atrás, usuários do imageboard alemão Pr0gramm (pr0gramm.com), ao qual os operadores do serviço de cryptojacking Coinhive estavam associados, se opôs o jornalista. Ofendido pela investigação de Krebs, usuários lançaram a campanha #KrebsIsCancer nas redes sociais (“Krebs é câncer”). O fato é que em alemão o sobrenome do jornalista, Krebs, traduz como “câncer”, e no Pr0gramm eles decidiram literalmente “combater o câncer”: eles perseguiram Krebs e eventualmente doaram mais de $120,000 para esta luta.
Também é importante notar que os autores de malware mencionam frequentemente Brian Krebs no código de seus programas como uma espécie de “olá”. Segundo o jornalista, uma lista completa de tais casos consistiria em centenas de páginas.
Ontem houve uma postagem no KrebsOnSecurity intitulada “Não, Eu não hackeei seu servidor MS Exchange“. Iniciar, Krebs diz que agora “em seu nome” ataques estão ocorrendo em servidores vulneráveis a problemas de ProxyLogon.
O pesquisador escreve que a Shadowserver Foundation descobriu que os servidores Microsoft Exchange estão sendo atacados pelos malwares KrebsOnSecurity e Yours Truly.
Por exemplo, os invasores primeiro hospedam o web shell Babydraco no servidor vulnerável em /owa/auth/babydraco.aspx. O arquivo malicioso krebsonsecurity.exe é então carregado via PowerShell, que transfere dados entre o servidor da vítima e o domínio do invasor – Segurança Krebson[.]principal.
Shadowserver encontrou mais de 21,000 Servidores Exchange executando o backdoor Babydraco, embora eles não saibam quantos desses sistemas estavam baixando cargas secundárias de uma versão não autorizada do Krebsonsecurity.
A pesquisadora cita a postagem de dezembro de um dos visitantes do site:
Krebs explica que em vez de “XXX-XX-XXX”, esse endereço era seu número de segurança social. “Fui morto por DNS,” ele resume.
Deixe-me também lembrá-lo que informamos que Pesquisador publicou exploração PoC para vulnerabilidades de ProxyLogon no Microsoft Exchange.
