A Microsoft alertou sobre um aumento de ataques cibernéticos usando web shells. Os cibercriminosos costumam usar web shells para proteger sua presença em redes comprometidas.
Em comparação com o ano passado, o número médio mensal de web shells maliciosos detectados em servidores comprometidos dobrou.
Proteção avançada contra ameaças do Defender da Microsoft (ATP) relatório ano passado, com base em dados coletados de 46,000 dispositivos individuais, média 77,000 detectado em servidores web shell comprometidos por mês.
O crescente número de ataques cibernéticos usando shells baseados na Web, a Microsoft explica pelo fato de serem muito fáceis de usar e eficazes. Tipicamente, um web shell é um pequeno pedaço de código malicioso escrito em linguagens de programação típicas de desenvolvimento web (por exemplo, ASP, PHP, JSP). Os cibercriminosos os incorporam em servidores web, proporcionando assim acesso remoto a esses servidores para posterior execução de código.
Web shells permitem que invasores executem comandos em servidores para roubar dados ou usar o servidor como plataforma de lançamento para outras ações, como movimento lateral, implantação de cargas adicionais, ou ações do teclado.
Os invasores instalam web shells em servidores explorando vulnerabilidades em aplicativos web e servidores conectados à Internet. Em busca de instalações vulneráveis, eles examinam a Internet usando ferramentas disponíveis publicamente, como shodan.io. Os cibercriminosos muitas vezes exploram vulnerabilidades já corrigidas pelo fornecedor, qual, infelizmente, não foram corrigidos pelos administradores do sistema.
Uma vez instalado no servidor, web shells são um dos meios mais eficazes de manter a persistência em redes corporativas atacadas.
Deixe-me lembrá-lo de que também relatei que Microsoft acusou Rússia e Coreia do Norte de ataques a empresas farmacêuticas.
