As empresas não conseguem consertar seus processos devido à vulnerabilidade do Bash. Especialistas em segurança emitiram dois avisos sobre novos ataques maliciosos associados a Trauma pós guerra, à medida que observam um número crescente de cibercriminosos que se aproveitam da falha do Bash nos sistemas UNIX e Linux.
O primeiro aviso foi lançado pela Akami e dizia respeito a um grupo de hackers que criava um botnet usando sistemas expostos à vulnerabilidade Shellshock. O segundo veio da Trend Micro e relatou sobre um ataque a servidores SMTP.
Além disso, um relatório de pesquisadores com SERT (Equipe de pesquisa de engenharia de segurança solucionária) aponta que os hackers estão mudando seus métodos de uma maneira surpreendentemente rápida, para que eles pudessem aproveitar o Shellshock. Os especialistas estimaram que 67% do tráfego capturado com assinaturas Shellshock foi associado a fontes ruins já estabelecidas. Isso só pode significar uma coisa - os hackers estão se adaptando rapidamente e já estão alterando suas estratégias para incluir a falha Shellshock em seus ataques.
As coisas estão ficando fora de controle, pois os cibercriminosos estão se ajustando com muito mais rapidez do que as empresas de segurança podem reagir. Os ataques estão aumentando, e uma grande parte da atividade inicial vem de autores de botnets DDoS. Os hackers usam a falha do Bash como uma forma de ampliar seus botnets.
De acordo com o relatório do Akami, a maioria dos botnets que usam Shellshock sob observação são controlados pelo IRC. A mesma técnica está sendo usada no ataque descrito pela Trend Micro. Sua equipe de pesquisa revelou que os criminosos contam com um e-mail fraudulento para distribuir o código malicioso inserido no arquivo De, Sujeito, Para, e campos CC que exploram servidores SMTP vulneráveis, então um bot IRC pode ser instalado. À medida que o servidor de destino recebe a mensagem corrompida, a carga útil embutida é executada, o bot IRC é baixado, e a conexão com o servidor IRC de controle é estabelecida.
Os especialistas da Trend Micro recomendam que os administradores de TI bloqueiem todos os IPs e domínios relacionados a este ataque. Os ataques estão aumentando constantemente, e as organizações são instadas a corrigir seus sistemas para Shellshock. É bastante perturbador a facilidade com que a falha pode ser explorada, o que significa que sistemas vulneráveis podem se tornar parte dos botnets quase sem esforço.