Jump to content

Search the Community

Showing results for 'ransomware'.


Didn't find what you were looking for? Try searching for:


More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Arquitetura de Computadores
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
  • Career
    • Study and profession
    • Oportunidades
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Crackmes
  • Documentação
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Full name


Como veio parar aqui?


Website


Github/Gitlab


LinkedIn

Found 51 results

  1. A Canon sofreu um ataque de ransomware afetando serviços como seu e-mail, o Microsoft Teams, o site dos Estados Unidos e outros aplicativos internos. Uma fonte entrou em contato com o BleepingComputer e compartilhou a imagem de uma notificação enviada pela empresa intitulada "Mensagem do Centro de Serviços de TI". A notificação declara que a Canon está enfrentando "problemas amplos no sistema que afetam vários aplicativos, Teams, e-mail, e outros sistemas podem não estar disponíveis no momento". O site da Canon EUA está em manutenção, e há ainda uma lista de domínios que parecem ser afetados por essa interrupção. O BleepingComputer obteve também uma captura de tela parcial da suposta nota de resgate da Canon, identificada como sendo do ransomware Maze. Depois de entrar em contato com os operadores de ransomware, o Maze informou ao BleepingComputer que o ataque foi realizado e eles roubaram "10 terabytes de dados, bancos de dados privados, etc.". O Maze é um ransomware direcionado a empresas e que compromete e se espalha lateralmente através de uma rede até obter acesso a uma conta de administrador e ao controlador de domínio do sistema Windows. Durante esse processo, o Maze rouba arquivos não criptografados de servidores e backups, e os carrega nos servidores do atacante. Assim, o Maze implanta o ransomware em toda a rede para criptografar os dispositivo, e se uma vítima não pagar o resgate, o Maze pode distribuir publicamente os arquivos roubados em um site de vazamento de dados. Em comunicado ao BleepingComputer, a Canon diz que "está, atualmente, investigando a situação".
  2. Um relatório de tendências de vulnerabilidades e ameaças para 2020 da Skybox Security diz que novas amostras de ransomware tiveram um aumento de 72% no primeiro semestre deste ano. De acordo com o ZDNet, que teve acesso à pesquisa, o aumento nos ataques de ransomware ocorreu ao mesmo tempo em que um grande número de organizações mudou para o trabalho remoto, devido à pandemia do novo coronavírus (COVID-19). As vulnerabilidades de segurança nos protocolos da área de trabalho remota - combinadas com o uso de senhas fracas pela equipe - proporcionaram aos cibercriminosos uma maneira adicional de entrar nas redes, diz a reportagem. Além disso, alguns trabalhadores domésticos não receberam treinamento claro sobre segurança da informação, o que aumentou a possibilidade de ataques. Várias campanhas de ransomware têm como alvo ativo empresas do setor de assistência médica e farmacêutica, em um esforço para extorquir resgates de organizações diretamente envolvidas no tratamento e pesquisa relacionados ao novo coronavírus. "Observamos 77 campanhas de ransomware durante os primeiros meses da pandemia – incluindo várias em laboratórios de pesquisa de missão crítica e empresas de assistência médica", disse Sivan Nir, líder da equipe de inteligência de ameaças da Skybox Security. "O foco e a capacidade dos atacantes são claros: eles têm os meios para transmitir sérios danos financeiros e à reputação das organizações", acrescentou. O especialista destaca que para se proteger contra ataques de ransomware, é preciso ter uma visão completa de todos os ativos corporativos na rede e analisar como os ativos críticos podem ser acessados movendo-se lateralmente pela rede, com ou sem as credenciais corretas. Além disso, VPNs, firewalls e outros sistemas devem ser configurados corretamente com os patches de segurança apropriados. Ele reforça que há uma grande necessidade por estratégias de correção focadas, informadas pela visibilidade total da rede e inteligência rica em dados.
  3. O Conti Ransomware é uma ameaça futura que tem como alvo redes corporativas. O ransomware possui novos recursos que permitem realizar ataques mais rápidos e direcionados. Segundo o BleepingComputer, há também indícios de que esse ransomware compartilha o mesmo código de malware que o Ryuk. O BleepingComputer começou a rastrear o Conti no início de junho de 2020. De acordo com o ZDNet, o Conti está usando até 32 threads de CPU simultâneos para criptografar arquivos em computadores infectados, com velocidades de criptografia extremamente rápidas. O ransomware foi visto pela primeira vez distribuído em ataques isolados no final de dezembro de 2019. Ao longo do tempo, os ataques aumentaram lentamente até o final de junho deste ano, quando houve um aumento de vítimas no site de identificação de ransomware ID Ransomware. Os operadores da Conti violam as redes corporativas e se espalham lateralmente até conseguirem obter credenciais de administrador de domínio. Depois que os privilégios administrativos são alcançados, os agentes da ameaça implantam o ransomware e criptografam os dispositivos. No momento, não se sabe se os atacantes também roubam arquivos das redes de suas vítimas antes de criptografá-los. Embora não esteja 100% claro se o Conti é sucessor do Ryuk, os gráficos de envio no ID Ransomware mostram que os ataques do Conti aumentaram, enquanto os do Ryuk foram diminuindo. Em agosto de 2017, o Hermes Ransomware estava sendo vendido em um fórum, e pesquisadores acreditam que cibercriminosos podem ter comprado esse construtor de ransomware e o transformado no Ryuk. Em algum momento, os atacantes que usam o Ryuk se fragmentaram, renomearam ou decidiram fazer a transição para o nome “Conti”, que parece basear-se no código da versão 2 do Ryuk. Além das semelhanças no código do malware, foi observada uma nota de resgate mais descritiva do Conti com o mesmo template utilizado pelo Ryuk em ataques anteriores. Além disso, a mesma infra-estrutura do TrickBot é usada pelos agentes de ameaças Ryuk e Conti como parte dos ataques de ransomware. Por isso, é possível que o Conti esteja vinculado ao mesmo grupo de desenvolvedores do Ryuk.
  4. Faz algum tempo que ando botando mais a mão na massa na parte prática da análise de malware e nos conceitos que a envolvem. Este fato somado com minha paixão por tomar notas nos meus estudos acaba resultando na criação de alguns relatórios. Com isto em mente, decidi colocar aqui a análise do último sample no qual trabalhei, de um ransomware chamado Nephilin. Overview O Nephilin é uma variante do Nefilim, um Ransomware que acabou ficando bem conhecido no mês de fevereiro/março devido ao fato de ser uma variante do conhecido Nemty, que costumava trabalhar com operações de RaaS (Ransomware as a Service - um modelo de negócio utilizado por criminosos que facilita muito a distribuição de Ransomwares. Basicamente o criador do malware recruta pessoas para usarem o Ransomware e recebe uma parte de seus lucros, facilitando assim a distribuição e a entrada de pessoas não experientes no crime). Por mais que as formas de operação sejam diferentes, há similaridades de código entre essas três famílias de malware. Análise Estática O sample analisado foi compilado para x86 e não possui nenhuma técnica que possa dificultar nossa análise como por exemplo packers/protectors e o uso de ASLR. No entanto, este binário é assinado com um certificado válido: Olhando os imports podemos notar que a Import Directory Table possui apenas uma entrada, a da kernel32.dll, levantando a suspeita da utilização de runtime linking, ou seja, o loader não resolve o endereço das funções em tempo de carregamento, pois eles são resolvidos em tempo de execução: Podemos suspeitar ainda mais pelo fato do nome algumas DLLs estarem na lista de strings do binário, assim como o nome de algumas funções que não são exportadas pela kernel32.dll: Não vou me preocupar muito com esta parte estática da análise, tendo em vista que a ideia deste artigo é cair de cabeça em cada funcionalidade do malware, isto é, executá-lo e ir analisando seu comportamento. Análise Dinâmica A primeira função que o malware chama é a que vai criar todo o contexto de criptografia para gerar uma chave que será a chave utilizada para descriptografar a Ransom Note: Dentro desta função existem várias funções que permitem trabalhar com criptografia no Windows. A primeira função criptográfica chamada é a CryptAcquireContext, responsável por criar um handle para um key container dentro de um Cryptographic Service Provider (CSP). Após pegar o handle, o tamanho de uma string é calculado para posteriormente se criar e retornar um Hash Object dentro do CSP criado anteriormente. Esta string tem 66 bytes de tamanho (0x42 em hexa) e é uma string lotada de "a". A função CryptCreateHash cria o Hash Object especificando o tipo como SHA1 e, logo depois, a função CryptHashData tira o hash do que está dentro de um buffer de tamanho 66 bytes sendo passado como parâmetro: Por fim, o SHA1 gerado é derivado, para a geração de uma chave RC4. Como podemos ver quase todas as funções estão sendo importadas dinamicamente. 🙂 O que acontece após a função que gera esta chave RC4 é a criação de um Mutex com o nome "sofos delaet sosos": Em seguida, uma string em base64 aparece e é decodada com a função CryptStringToBinary, resultando em uma chave pública RSA: "BgIAAACkAABSU0ExAAgAAAEAAQDNFw18bUF1x32DZaZt4gnQtAnv5XH60d9B6UgIbVfRdHPeyEljZLKlGBKFPTsh+8xsDHe/9vynuOlnuPt91grReMAwcTDVkxBh/PDkf3Jq0bnFgZAWbgMvGX6lApXTDcTArf4US63VI3z8YPyDNJwEvBEWI13ywob8ECLsrD/C6BPkYG0mBU1ccixzOgkgad0iDvwS/C8iyW1Mi0PCoBa+3TCTVwt0Zpy/HceV5U7SevG7RRN5HrErv54Ihg6kTPPhdxkYdO+CUND19aLqh8MAVLRuP5hR6b6r7cjBNAW2+USaaMyT/llNXdPdySbatLlH6Mau4z1eqzYc7hMB2f+6" Há depois uma tentativa de pegar um handle para um CSP onde o key container tem o nome "rsa session" e, sem sucesso, o binário cria um novo chamado "skr skr skr": Agora a chave pública decodada anteriormente será importada para o contexto "skr skr skr": Ações padrão da maioria dos ransomwares incluem desabilitar a checagem de erros durante o boot, desabilitar o modo de recuperação, deletar backups, etc. O Nephlin faz isso através de uma chamada à função ShellExecuteA() passando uma linha com o cmd.exe como parâmetro: "C:\\asdfgsdgasd\\..\\Windows\\asdgagsahsfahfhasahfsd\\..\\System32\\cmd.exe" "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" Aqui foi utilizada uma abordagem um tanto curiosa, tendo em vista que o malware considera diretórios que provavelmente não existirão no sistema de arquivos da vítima ("asdgagsahsfahfhasahfsd", por exemplo) e sobe um nível no filesystem utilizando ".." para acessar de fato o que importa, ou seja, o caminho real seria simplesmente "C:\Windows\System32\cmd.exe" 🙂 Neste momento acontece uma checagem em relação à como o malware foi executado na linha de comando. Se foi passado algum parâmetro, ele checa pra ver se é um arquivo ou diretório. Se for um arquivo, ele chama direto a função que encripta. Caso seja um diretório, ele chama a função que checa uma lista de exclusão dos tipos de arquivos que ele não quer encriptar e esta função chama então a função que encripta. É interessante notar que com essas checagens o ransomware pode ser usado em diversos cenários e não simplesmente para encriptar o sistema completamente. Ex: para manualmente testar se ele está funcionando (antes da possível invasão), ser executado manualmente após a invasão visando diretórios/arquivos específicos, etc: Se nenhum parâmetro for passado via linha de comando, o binário começa a mapear os drives que estão no sistema e pegar seus tipos, buscando especificamente por drives fixos, removíveis (pen drives, etc) e mapeamentos de rede: Após pegar o drive o seu nome é concatenado com a string "NEPHILIN-DECRYPT.txt", à fim de criar a Ransom Note na raiz do Drive em questão: Após a chamada à CreateFile, podemos ver a Ransom Note sendo criada, mas vazia por enquanto: Antes do conteúdo ser de fato escrito no arquivo, ele precisa ser decodado, tendo em vista que é uma string em base64 (sim, outra string em base64): Abaixo está o buffer que contém o conteúdo da Ransom Note em base64: Após decodar o base64 o buffer aparenta estar encriptado, e de fato está: A função CryptDecrypt utiliza a chave RC4 gerada anteriormente para decriptar o conteúdo do buffer em questão. Podemos ver o conteúdo em clear text após a execução da função: Por fim podemos ver a função WriteFile, que irá escrever o conteúdo no arquivo "NEPHILIN-DECRYPT.txt" criado anteriormente: Agora que a Ransom Note foi criada, o processo de criptografia começa. O meio utilizado é através da criação de outra thread, isto é, para cada drive encontrado, uma nova thread é criada. A função CreateThread recebe como parâmetro para indicar seu início o endereço de uma função, que por sua vez chama a função que checa a lista de exclusão e depois começa a criptografia. Além disso, o nome do drive escolhido no momento é passado como parâmetro para esta função. Esta lista de exclusão é basicamente um lista que contém nomes de arquivos, diretórios e extensões das quais o malware não irá encriptar. Para cada arquivo encontrado o malware irá comparar com as especificações desta lista e, caso não bata, a função de criptografia será chamada: Criptografia A criptografia pode começar de 3 formas diferentes, como mencionado anteriormente: passando um arquivo como parâmetro pela linha de comando, passando um diretório ou mapeando os drives e criando threads. Um trecho da função que faz as devidas checagens pode ser observada abaixo: Se o arquivo checado não estiver na lista de exclusão, a função de criptografia é chamada: O processo de criptografia se inicia com a abertura do arquivo em questão e a obtenção do seu tamanho. Depois disso, há duas chamadas para a função SystemFunction036 para gerar números aleatórios. Basicamente esta função é um alias para a função RtlGenRandom, que recebe como parâmetro um buffer e o tamanho do número aleatório que você quer gerar. O tamanho escolhido são 16 bytes (0x10): Tendo 2 buffers de 10 bytes de tamanho cada, com os devidos números aleatórios gerados anteriormente, há duas chamadas à CryptEncrypt, uma para cada buffer. Aqui a chave pública RSA é utilizada para encriptar o buffer em questão, resultando em outros dois buffers de 256 bytes cada. O conjunto de funções a seguir faz a mesma operação, mas apontando para lugares diferentes. A função SetFilePointerEx é utilizada para apontar para o fim do arquivo (baseando-se no tamanho obtido anteriormente) e depois a função WriteFile é utilizada para escrever os 256 bytes encriptados lá. A próxima chamada à SetFilePointerEx agora aponta para o fim do arquivo + 256 bytes e então escreve o segundo buffer encriptado onde o ponteiro está apontando. Neste momento as checagens de tamanho de arquivo começam, assim como as chamadas de função e loops que envolvem a criptografia. A primeira checagem feita é se o arquivo é maior que 64MB e, caso seja, as funções que criptografam o arquivo começam a ser chamadas de 125KB em 125KB. Caso o arquivo seja menor há uma outra checagem para ver se ele é menor que 1.2MB e caso ele não seja as funções de criptografia rodam em cima de 600KB apenas e finalizam. Caso o arquivo seja menor que 1.2MB ele é encriptado "de uma vez" e depois finaliza. A criptografia é feita utilizando uma série de operações matemáticas em cima de cada buffer que é mapeado e passado como parâmetro para as funções que realizam a criptografia. É interessante notar aqui que a criptografia é customizada, isto é, não utiliza a chave pública com um algoritmo conhecido. Por fim a extensão ".NEPHILIN" é adicionada ao arquivo aberto: Uma coisa importante a se notar é que se a criptografia foi executada para um arquivo ou diretório específico tanto a Ransom Note quanto o wallpaper do Ransomware não são criados. Podemos observar que as funções de mapeamento de drives (que contém a criação da Ransom Note) e criação do papel de parede são ignoradas devido ao salto incondicional JMP: E por fim... Considerando ainda que não foram especificados arquivos e diretórios, a função responsável por criar a imagem do papel de parede é chamada. Há várias funções aqui e estas utilizam funções gráficas do Windows para editar a imagem em questão: Uma das funções chamadas nesta função responsável por criar a imagem é justamente a função de decoda o base64 da Ransom Note, pois o que é escrito no papel de parede é a mesma coisa da Ransom Note. Após várias funções gráficas para preparar a imagem o arquivo é finalmente criado em %TEMP%, com nome god.jpg e seu conteúdo é escrito no arquivo: Após configurar a imagem como papel de parede, o malware chama sua última função, que é responsável por fechar todos os handles e contextos de criptografia ainda pendentes: Depois disso, o processo simplesmente sai retornando 0. Lista de exclusão: NEPHILIN-DECRYPT.txt $RECYCLE.BIN NTDETECT.COM MSDOS.SYS IO.SYS boot.ini AUTOEXEC.BAT ntuser.dat desktop.ini CONFIG.SYS BOOTSECT.BAK program files program files (x86) windows ntldr RECYCLER bootmgr programdata appdata .dll .NEPHILIM .exe .log .cab .cmd .com .cpl .ini .url .ttf .mp3 .pif .mp4 .msi .lnk Espero que o estudo desta análise seja proveitoso assim como foi para mim e qualquer dúvida/feedback estou à disposição! Abraços!
  5. Os ataques de ransomware tiveram um crescimento grande nos últimos dois anos, com os ciberatacantes ampliando suas operações a tal ponto que a demanda média de resgate aumentou mais de 10 vezes em um ano. As informações são do BleepingComputer. Segundo a publicação, existe mais de uma dúzia de operadoras de ransomware como serviço (RaaS), cada uma com uma série de afiliadas que se concentram em alvos empresariais em todo o mundo. Um relatório da empresa de segurança cibernética Group-IB analisa como essa ameaça mudou em apenas um ano desde 2018. Os atacantes começaram a roubar arquivos das vítimas antes da criptografia para aumentar a alavancagem e forçar um pagamento. De acordo com o relatório, os ataques de ransomware aumentaram 40% em 2019, e o foco em metas maiores elevou o preço do resgate de US$ 6 mil para US$ 84 mil. Em 2020, o valor aumentou ainda mais. Dados da Coveware mostram que a média no primeiro trimestre do ano foi de US$ 111,6 mil, sendo que há casos em que as demandas de resgate chegam a US$ 1 milhão. As famílias de ransomware mais gananciosas são a Ryuk e o REvil, também conhecido como Sodin ou Sodinokibi. Entre as técnicas de ataque mais comuns está o comprometimento via kits de exploração (EKs), serviços remotos externos (principalmente RDP) e spear phishing. As redes que distribuem e-mails maliciosos como Emotet, Trickbot (Ryuk) ou QakBot (ProLock, MegaCortex) são usadas para acessar a rede de destino. Os alvos mais valiosos são a cadeia de suprimentos. Os atacantes também aproveitam a exploração de vulnerabilidades não corrigidas em aplicativos voltados ao público ou comprometimento de MSPs (Provedores de Serviços Gerenciados). Os criminosos também começaram a vazar arquivos roubados das vítimas caso não recebessem o resgate. Pelo menos 12 operadores de ransomware têm sites de vazamento onde publicam dados roubados das vítimas, enquanto outros usam fóruns para compartilhar links para download.
  6. A Honda confirmou que um ciberataque paralisou parte de suas operações. No dia 8 de junho, a companhia publicou no Twitter que o atendimento ao cliente enfrentava dificuldades técnicas e estavam indisponíveis. Após divulgar o comunicado, a companhia não atualizou mais o status da operação. De acordo com o TechCrunch, um relatório anterior sugere que o ransomware Snake é o provável causador do problema. O Snake, mantém arquivos reféns de um resgate, que deve ser pago em criptomoeda. Mas a Honda disse não haver evidências que seus dados foram exfiltrados. Apesar de não ter sinalizado se, de fato, a paralisação ocorreu por um ataque de ransomware, um analista de ameaças da empresa de segurança Emsisoft disse ao TechCrunch que uma amostra do malware que criptografa arquivos foi carregada no VirusTotal – serviço de análise de malware – fazendo referência a um subdomínio interno da Honda. O ransomware é uma ameaça perigosa, e seus ataques têm sido cada vez mais sofisticados e comuns. Nesse vídeo, explicamos um pouco sobre como eles funcionam e o que fazer em caso de infecção:
  7. A Light, companhia de energia elétrica do Rio de Janeiro, informou que sofreu um ataque cibernético esta semana. Segundo comunicado da empresa, uma ação imediata ocorreu para conter o ataque, mas informações da Veja Rio dizem que os atacantes pedem um resgate de US$ 7 milhões para liberar os dados criptografados da companhia. Os ciberatacantes provavelmente invadiram o sistema da Light e infectaram o computador com um ransomware, criptografando todos os arquivos do sistema da empresa. A companhia, contudo, não confirmou as informações. "Estamos trabalhando de forma intensiva na resposta ao incidente", diz a Light no Twitter. Já demos aqui inúmeras notícias sobre esse tipo de ataque, que tem crescido cada vez mais ao redor do mundo, se tornando sofisticados e exigindo grande volume de resgates. Dá uma olhada na variedade de conteúdos que já abordamos com esse tema, entre casos, maneiras de se proteger e até análise de alguns ransomwares.
  8. No último sábado, 18 de abril, aconteceu a primeira conferência realizada pelo Mente Binária, totalmente on-line. A MBConf@home reuniu uma média de 471 espectadores durante 5 horas de palestras de especialistas em segurança da informação. O principal objetivo da MBConf@home foi levar ao público um conteúdo sobre segurança da informação diante do fato de que vários eventos da área tiveram de ser cancelados por conta da pandemia do novo coronavírus (COVID-29). Não podíamos, diante desta situação, ficar parados, deixando o primeiro semestre do ano sem conferências de segurança no Brasil. Logo na abertura do evento, Fernando Mercês lembrou de grandes eventos que foram realizados durante esse período através de transmissões ao vivo nas redes sociais. "Tem uma galera investindo em fazer lives, eventos on-line, e é um momento de aprendizado e estudo". Ele explicou ainda sobre o projeto Mente Binária, que nasceu em 2007 a partir de uma vontade de compartilhar, como blog pessoal do Mercês, as situações do dia a dia da área de segurança. "Passando por diversas transformações, nos tornamos uma instituição sem fins lucrativos que busca ajudar quem está entrando na carreira de segurança da informação uma base sólida para que não caia num buraco de estudos sem base. O mercado tem um gap claro na área de segurança e o ensino brasileiro não é o suficiente para que as pessoas tenham essa base sólida. A gente tenta suprir esse gap", disse. "No final queremos cumprir essa missão de trabalhar no conhecimento de base dos futuros profissionais de segurança, e os atuais também, através desses projetos". E uma das formas de compartilhar esse conhecimento foi justamente a realização da MBConf@home. O evento continua disponível no canal Papo Binário e vale muito a pena ver, rever e estudar o conteúdo compartilhado por esses profissionais. A gente fez uma cobertura e traz aqui alguns highlights do que foi compartilhado durante a conferência. Análise de uma botnet P2P transiente O primeiro palestrante do dia foi Renato Marinho, Chief Research Officer da MorphusLabs e Incident Handler na SANS Internet Storm Center. Renato fez uma apresentação sobre a análise de uma Botnet P2P, explicando desde o comprometimento de um honeypot até enumeração dos nós da rede. "Diferente de uma Botnet concentrada, a P2P distribui o comando dentro da rede, e isso dificulta ações de takedown, que derrubam a Botnet", explicou. Ele explicou como fez análise do honeypot através do Raspberry Pi 3. "Comecei a ver muitas tentativas de login, e algumas pessoas deram comandos. As primeiras tentativas que eu vi não eram maliciosas, curiosamente, parece que faziam alguma análise da máquina e saiam. Mas não demorou muito para ter um arquivo malicioso". Ele explicou ainda sobre a execução do malware, e como bloqueou as saídas de execução para não infectar ninguém e nem participar de ações maliciosa, pois queria apenas estudar. "Fiquei curioso para saber o que estava sendo trafegado pela Botnet, e aí entra a análise do C&C. Usei a estratégia man-in-the-middle. Dentro da Botnet tinha um controle de segurança para que somente os nós infectados conseguissem acesso à rede, evitando que pesquisadores entendessem o que ocorria na rede". Dentro de seus estudos ele viu que o Brasil aparece em sétimo lugar, com aproximadamente mil nós infectados. Além disso, o Raspberry aparece como maior parte de dispositivos infectados, mas há outros também. Ele usou ainda a geolocalização para tentar identificar a origem dos nós, que o levou à Ucrânia. "Foi uma curiosidade, pois não é possível ter esse nível de precisão". A pesquisa demorou um mês e meio para ser realizada, entre ter a ideia de examinar a Botnet até os resultados finais. Introdução ao Hardware Hacking Sergio Prado, criador do embarcados.com.br e fundador da Embedded Labworks, fez uma apresentação sobre hardware hacking e segurança de dispositivos eletrônicos. Na palestra, foram abordadas diversas técnicas de engenharia reversa em hardware, incluindo extração e análise de firmware, side-channel attacks, glitch attacks, entre outros. Sérgio disse que apesar de não ser um profissional da área de segurança, acabou atuando diretamente na área. "Como faço design de produtos eletrônico, conheço o que pode dar errado. O foco dessa palestra é falar um pouco sobre técnicas e ferramentas para explorar vulnerabilidade em hardware", disse. Ele tem mais de 20 anos de experiência em desenvolvimento de software para sistemas embarcados e atua com consultoria, treinamento e desenvolvimento de software para sistemas embarcados. "Qual processo seguir para explorar a vulnerabilidade em hardware? As técnicas são parecidas com a exploração em software, o que muda são as ferramentas. Primeiro temos que identificar o objetivo, o que você quer fazer. Depois, identificar os vetores de ataque, e depois as vulnerabilidades. O último passo é explorar a vulnerabilidade", explicou. O foco da palestra foi na exploração da vulnerabilidade no hardware em si, e não no que ele expõe em interface externa. "Entender e focar o objetivo é importante", disse Sergio. Definido isso, ele indica coletar informações sobre o dispositivo na Internet e depois, em suas palavras, "abrir o dispositivo e perder a garantia!. Cuidado que alguns dispositivos devem ter mecanismo anti-tampering responsável por apagar a memória flash do dispositivo se ele for aberto. Às vezes é bom ter dois dispositivos, pois o primeiro dificilmente vai voltar a funcionar", aconselhou. Ele mostrou ainda quais são as ferramentas necessárias para a etapa de coletar informações do hardware e como analisar vetores de ataque. Debugging tricks O engenheiro reverso Thiago Queiroz, programador há mais de 20 anos em diversas linguagens, mostrou na sequência o processo de debugging utilizando a ferramenta x64dbg com o objetivo de mostrar vários truques interessantes para uma análise, dentre eles a utilização de gráficos, breakpoints condicionais, tracing e até mesmo como encontrar o ponto mágico em programas escritos em Visual Basic 6. "Fiz uns dois programas para a gente testar alguns cenários. Criei um ransomware que conversa com uma central comando de controle e vamos usar as técnicas das dicas que vou passar para analisar o malware". Ele fez todo o processo ao vivo, durante a apresentação. Durante a apresentação, Thiago também comprovou o quão importante é o entendimento da base de computação, pois ela se aplica em todos os cenários, independente da linguagem, versão, sistema operacional ou ferramenta utilizada. Bluetooth shell Noilson Caio, pesquisador de segurança com foco em redes sem fio, apresentou um projeto de segurança ofensiva utilizando um chip bluetooth. Através desse chip, ele conseguiu ter shell em dispositivos que possuem porta serial, permitindo uma conexão persistente com proximidade física. "Tenho a filosofia da segurança da informação como um hobbie". O especialista em defesa cibernética da Neoway tem experiência desde 2003, atuando por seis anos com provedores de Internet, e hoje trabalha diretamente com segurança da informação. Ele citou ainda seu trabalho na Darkwaves, comunidade virtual que tem como objetivo debater assuntos referentes a segurança da informação em redes sem fio e que realiza conferências, palestras e uma vasta gama de atividades, atuando no RoadSec, JampaSec, H2HC, e outros eventos. Durante sua apresentação, Noilson analisou o chip, a interface serial, e o Wart – circuito integrado utilizado para comunicação serial. "Essa comunicação geralmente é utilizada para debugar e realizar testes. Ter acesso a esta porta é bastante importante para que você seja capaz de acompanhar um processo de boot, ter acesso a um terminal, a comunicação entre dispositivos em rede, etc. Poder ser um circuito integrado separado ou já vir implementado em um chip". Ele ainda explicou como fez os plugs por meio de um access point, que pode ser um roteador ou qualquer coisa que tenha interface serial, com cuidado de saber que cada pino está mapeado com a função correta. Debugging com WinDbg O programador de drivers Wanderley Caloni mostrou como usar o WinDbg, um debugger extremamente poderoso da Microsoft que pode ser utilizado para debugar aplicações tanto em nível de usuário quanto de kernel. "O WinDbg continua sendo linha de frente. Para fazer engenharia reversa você não vai ter o código fonte, então é muito mais rápido e prático rodar os comandos que você precisa, diretamente da linha de comando, de forma scriptável". Caloni começa explicando sobre como o WinDbg funciona por trás dos panos, seguido de como preparar o ambiente para debugar em nível de usuário e de kernel. A apresentação seguiu com uma overview sobre como você pode analisar seu código com a IDE Visual Studio, seguido de diversas dicas de comandos do WinDbg que podem ser úteis na hora de se fazer uma análise e sua vantagem em comparação às outras ferramentas. Engenharia Reversa em Android Maycon Vitali, Security Exorcist na PRIDE Security, e fundador do projeto Hack N' Roll, fez uma apresentação sobre engenharia reversa em aplicativos Android. Ele disponibiliza muito conteúdos em seu canal Hack N' Roll Academy, que tem o objetivo de oferecer temáticas técnicas de qualidade, falando da teoria e da prática. Em seu canal, ele começou a série Reversing Android Application, que apresentou no MBConf@home. "A primeira etapa é analisar os componentes de uma aplicação Android tem. São basicamente quatro: activities; services; content providers e broadcast receivers". Dentre as ferramentas utilizadas para engenharia reversa de aplicação estão adb, unzip, dex2jar, apktool, keytool, jarsigner; jd-gui, jadx, ByteCode Viewer e Frida. Maycon explicou como utilizar as ferramentas da melhor forma para se fazer uma análise. Um dos temas abordados foi como analisar aplicações utilizando o Smali. Além disso, Maycon mostrou também como instrumentar/automatizar sua análise utilizando o Frida para fazer hooking de funções, debugging customizado e tracing de código. Encerramento Ao final do evento, Anchises Moraes, grande apoiador do projeto há muitos anos, que faz parte da organização do Garoa HC e da BSides e atua como Cyber Prevenger no C6 Bank, parabenizou a organização e os palestrantes, dando alguns recados importantes para quem acompanha a área de segurança da informação. "Queria lembrar a todos de termos essas ações como comunidade, compartilhando conhecimento de qualidade, onde você agrega mais informações, ajuda na carreira, ajuda a todos a crescerem juntos. O Mente Binária, desde o começo, sempre teve esse foco", disse. Ele ressaltou o momento difícil que todos vivem com a pandemia. "Temos uma sorte grande de trabalhar na área de tecnologia, que tem uma vasta demanda por profissionais, e mesmo com a crise acontecendo, muitas empresas continuam contratando nessa área. E também temos a responsabilidade de fazer o que podemos para colaborar com todo mundo". Ele deu dicas ainda sobre manter o discernimento em relação a notícias sobre a crise e ajudar a conscientizar sobre os riscos das ameaças que existem, principalmente agora que grupos de cibercrimes estão aproveitando o momento para compartilhar phishing direcionados. "Nós, como profissionais de segurança, temos a capacidade de orientar as pessoas sobre segurança da informação e compartilhar isso em rede". E a MBConf@home v2 já tem data e hora marcada! Dia 2 de maio, às 10h, também através do canal do Mente Binária no YouTube. Marque na sua agenda!
  9. A Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos publicou nesta terça-feira, 12 de maio, detalhes sobre três tipos de malware que supostamente foram usados por cibercriminosos patrocinados pelo governo da Coréia do Norte para atacar alvos em todo o mundo. Os malwares são: COPPERHEDGE; TAINTEDSCRIBE; e PEBBLEDASH. Segundo o ZDNet, COPPERHEDGE é um trojan (cavalo de tróia) de acesso remoto (RAT) capaz de executar comandos arbitrários, realizar reconhecimento do sistema e extrair dados, sendo que seis variantes diferentes foram identificadas. O TAINTEDSCRIBE também é um trojan que é instalado em sistemas invadidos para receber e executar comandos do invasor. Essas amostras usam o FakeTLS para autenticação de sessão e criptografia de rede utilizando um algoritmo Linear Feedback Shift Register (LFSR). O principal executável se disfarça do Narrador da Microsoft. Já o PEBBLEDASH é outro trojan com a capacidade de baixar, carregar, excluir e executar arquivos; habilitar o acesso das Interface de linha de comandos do Windows; criar e encerrar processos; e executar a enumeração do sistema de destino. O anúncio coincidiu com o aniversário de três anos do ransomware WannaCry, que as autoridades americanas também alegam ter sido criado em Pyongyang.
  10. Os custos arcados pelas vítimas de ataques de ransomware dobraram no final do ano passado. Segundo dados divulgados pela Coveware, empresa especializada na recuperação desses ataques, no quarto trimestre de 2019, o pagamento médio de resgate aumentou em 104%, para US$ 84,1 mil, contra US$ 41,1 mil no terceiro trimestre. Esse aumento reflete a diversidade dos atores de ameaças que estão atacando ativamente as empresas. A Coveware explica em seu relatório que algumas variantes de ransomware, como Ryuk e Sodinokibi, estão migrando para atacar o espaço corporativo, concentrando seus ataques em grandes empresas. Por exemplo, os pagamentos de resgate do ransomware Ryuk atingiram uma nova alta de US$ 780 mil para empresas impactadas. Já variantes menores de ransomware, como Dharma, Snatch e Netwalker, continuam atingindo pequenas empresas com um alto número de ataques, contudo, com resgates menores, de até US$ 1,5 mil. O Bitcoin é usado quase exclusivamente em todas as formas de extorsão cibernética, o que dificulta um pouco o pagamento para as vítimas, que devem adquirir essas moedas. Além do aumento nos custos para recuperação após ataque, o tempo médio de inatividade de uma empresa afetada também aumentou, subindo de 12,1 dias no terceiro trimestre de 2019 para 16,2 dias no quarto trimestre, segundo o relatório. Isso foi impulsionado por uma maior incidência de ataques contra grandes empresas, que geralmente passam semanas corrigindo e restaurando totalmente seus sistemas. Como essas empresas têm redes mais complexas, a restauração de dados por meio de backups ou descriptografia leva mais tempo que a de uma pequena empresa. No quarto trimestre, as organizações do setor público foram os principais alvos dos ataques.
  11. Para tentar extorquir empresas a recuperarem seus dados, os autores de ataques do ransomware estão ameaçando expor informações roubadas das vítimas, caso não paguem pelo resgate. Segundo o site Ars Technica, o grupo responsável pelo ransomware Maze tem feito essa ameaça. Pouco antes do Natal, 2Gb de dados dos sistemas da cidade de Pensacola roubados foram expostos, e os atacantes alegam que isso é apenas 10% do que foi obtido dos sistemas. Já a empresa italiana de alimentos Fratelli Beretta viu todos os dados extraídos de 53 sistemas, totalizando de 3Gb publicados on-line pelo Maze. A Stockdale Radiology, uma clínica de radiologia em Bakersfield, na Califórnia, sofreu com a exposição de capturas de tela dos sistemas e dados do servidor de fax da clínica, incluindo dados de pacientes transmitidos de outra clínica de ressonância magnética. Cerca de 25 outras vítimas estão listadas pelo Maze com conjuntos de dados menores publicados, incluindo informações de clientes. E parece que o grupo de atacantes não é o único que está adotando essa prática para tentar extorquir ainda mais dinheiro de suas vítimas. Os autores do ransomware REvil/Sodinokibi também ameaçam revelar dados de quem não paga.
  12. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC, na sigla em inglês) divulgou um guia para organizações públicas e privadas mitigarem os impactos de possíveis ataques de ransomware. As orientações incluem medidas a serem tomadas antes que uma infecção por malware ocorra, mas também sugerem etapas a serem realizadas caso já tenha ocorrido um ataque. Segundo o NCSC, o guia tem como objetivo reduzir a probabilidade infecção por ciberataques; a disseminação de malware por toda a organização infectada; o impacto da infecção; e se já houve algum ataque de malware, é possível consultar uma lista de etapas urgentes a serem seguidas. Ele contém os seguintes capítulos: O que é malware?; Dica 1: faça backups regulares; Dica 2: impedir que malware seja entregue aos dispositivos; Dica 3: impedir a execução de códigos maliciosos nos dispositivos; Dica 4: limitar o impacto da infecção e permitir uma resposta rápida; Etapas a serem seguidas se sua organização já estiver infectada; e Mais conselhos. O guia, em inglês, pode ser acessado no site da NCSC. Apesar de ser direcionado para empresas do Reino Unido, as dicas valem para qualquer organização que quiser se proteger.
  13. Diante da onda de ataques de ransomware que diversos municípios nos Estados Unidos estão passando, a Microsoft publicou um artigo sobre como se proteger desses ataques e evitar pagar o resgate aos criminosos. A empresa enfatizou que nunca incentiva uma vítima a pagar qualquer forma de resgate, que geralmente é caro, perigoso e apenas reabastece a capacidade dos atacantes de continuar suas operações, sem garantias, inclusive, que os arquivos serão devolvidos na sua integridade. Para a Microsoft, toda organização precisa se planejar anteriormente desse tipo de ataque e assim reagir rapidamente e efetivamente a esses incidentes quando eles acontecem. Usar uma solução eficaz de filtragem de e-mail é a primeira dica da empresa. E-mails de spam e phishing ainda são os métodos mais comuns para infecções por ransomware. Para interromper efetivamente o ransomware em seu ponto de entrada, toda organização precisa adotar um serviço de segurança de e-mail que garanta que o conteúdo seja verificado quanto a spam, malware e outras ameaças avançadas. Aplicar atualizações e patches (correções) de segurança assim que os fornecedores de software as liberam é um segundo passo. No caso do ransomware WannaCry, que proporcionou um dos maiores ataques globais de segurança em 2017, a vulnerabilidade explorada era no protocolo Windows networking Server Message Block, para o qual a Microsoft havia lançado um patch quase dois meses antes do primeiro ataque divulgado. Utilizar um antivírus atualizado e uma solução de detecção e resposta endpoint também pode ajudar, embora possuir antivírus por si só não garanta proteção adequada. Mas as soluções antivírus devem ser mantidas atualizadas. Separar credenciais administrativas e privilegiadas das credenciais padrão é outra dica. A separação dessas contas reforça o controle de acesso adequado e também garante que o comprometimento de uma única conta não leve ao comprometimento de toda a infraestrutura de TI. Autenticação Multifator, Gerenciamento de Identidade Privilegiada e Gerenciamento de Acesso Privilegiado são maneiras de combater o ataque a uma conta privilegiada. Implementar um programa eficaz de lista de permissões de aplicativos, restringindo, assim, os aplicativos que podem ser executados em uma infraestrutura de TI, é outra maneira de se proteger. Por fim, é importante fazer backup regular de sistemas e arquivos críticos. O ransomware é conhecido por criptografar ou destruir qualquer arquivo encontrado, e geralmente pode torná-los irrecuperáveis. Um bom backup armazenado em um local secundário, não afetado pelo ataque de ransomware, ajuda a minimizar esse impacto. 😉
  14. O aumento nos ataques de ransomware contra cidades, municípios, escolas e organizações de saúde este ano é apenas uma amostra do que provavelmente ocorrerá em 2020. Artigo publicado pelo DarkReading conta que os atacantes descobriram uma oportunidade muito real de obter grandes retornos atacando organizações empresariais usando ransomware, e estão refinando suas ferramentas e técnicas para aumentar suas chances de sucesso. A empresa de segurança Emsisoft estimou recentemente que os ataques de ransomware custaram mais de US$ 7,5 bilhões em 2019 às agências governamentais dos Estados Unidos, estabelecimentos de ensino, e profissionais de saúde. Até dezembro, pelo menos 759 provedores de saúde, 103 governos e agências estaduais e municipais, e 86 universidades, faculdades e distritos escolares foram atingidos por esse tipo de ataque. Além das perdas financeiras, pacientes de emergência foram redirecionados para outros hospitais, registros médicos foram perdidos, transações de propriedades foram interrompidas, sistemas de vigilância ficaram offline e outras consequências graves decorreram desses ataques. Uma tendência preocupante é o crescimento de grupos de ameaças que colaboram entre si para facilitar a entrega de malware. Grupos de TI e segurança estão sob pressão para responder a esses ataques, e serão desafiados ainda mais pela crescente sofisticação dessa ameaça. 😞
  15. O Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores (CERT) da Polônia lançou uma a ferramenta de descriptografia gratuita para o ransomware Mapo, que é uma variante do GarrantyDecrypt/Outsider. A ferramenta, que está disponível para download, trabalha com arquivos criptografados com a extensão .mapo e a nota de resgate anexada como arquivo "MAPO-Readme.txt":. O trabalho foi feito em conjunto com a Kaspersky. Para utilizar a ferramenta, primeiramente é preciso verificar se o ransomware não está mais em execução, pois se tiver, os arquivos podem ser criptografados novamente. A chave para utilização da ferramenta está disponível em https://mapo.cert.pl. Depois disso, é preciso fazer o upload do arquivo de nota de resgate. O CERT publicou passo a passo, em inglês, para essa descriptografia. Essa iniciativa deve ser um exemplo para demais órgãos de resposta a incidentes. Existem outras iniciativas privadas de pessoa e empresas que se reúnem para tentar fazer softwares que desencriptam arquivos das vítimas de ransomware gratuitamente. Abaixo colocamos algumas dessa empresas que trabalham nessas iniciativas, com alguns sites disponíveis também em português: ID Ransomware No More Ransom Emsisoft Trend Micro
  16. Atacantes se passam por representantes da Noruega na Organização das Nações Unidas (ONU) para enviar um e-mail com suposto contrato, mas que na verdade é um ataque de phishing. O Bleeping Computer informou esta semana que a empresa de segurança Cofense descobriu a campanha de phishing com segmentação altamente específica, enviada para 600 endereços de email exclusivos na ONU. Os atacantes são operadores do ransomware Emotet. O e-mail falso informa que os representantes da Noruega encontraram um problema com um contrato assinado e que o destinatário deve analisá-lo para descobrir o problema. Anexado a esses e-mails está um documento do Microsoft Word que imita um contrato assinado que supostamente enviado pela Missão Permanente da Noruega. Ao abrir o documento, há um aviso de que ele está disponível apenas para versões de desktop ou laptop do Microsoft Office Word. Em seguida, é solicitado ao usuário que clique em 'Ativar edição' ou 'Ativar conteúdo' para visualizar o documento. Se o usuário abrir o documento e ativar seu conteúdo, serão executadas macros maliciosas do Word que baixam e instalam o Emotet no computador. O efeito é devastador: o Emotet pode instalar outros payloads, como o trojan TrickBot, que tentará coletar dados do computador, cookies, credenciais de login, arquivos do computador e possivelmente se espalhar para outros computadores na rede. Após a coleta de informações, o TrickBot é conhecido por abrir um shell reverso aos operadores do ransomware Ryuk, e assim criptografar todos os dispositivos da rede. Felizmente, não houve vítimas deste ataque, mas é um alerta para grandes organizações se protegerem – e para que usuários sempre verifiquem o remetente antes de abrir um e-mail.
  17. Mais uma cidade cidade americana foi alvo de um ataque de ransomware. Nova Orleans, no estado de Louisiana, foi atingida na última sexta-feira e a prefeitura tomou as devidas medidas de precaução, desligando os servidores, desconectando dispositivos e saindo do WiFi da cidade. O site da prefeitura ainda permanece fora do ar. Segundo o ZDNet, além da prefeitura, o ataque afetou o Departamento de Polícia de Nova Orleans, que também fechou sua rede de TI. Os policiais ainda estão em campo com o uso de rádios e outros serviços de comunicação de backup, embora não tenham acesso a dados históricos armazenados nos servidores do departamento. A prefeita da cidade, LaToya Cantrell, disse em entrevista coletiva que a investigação sobre o ataque ainda está em andamento, e que até então não havia pedido de resgate. A Polícia Estadual de Louisiana, o FBI de Nova Orleans, a Guarda Nacional de Louisiana e o Serviço Secreto estão ajudando a cidade a investigar o crime e a se recuperar do ataque. Em agosto, o estado já havia sofrido um ataque que atingiu três distritos escolares, levando o governador de Louisiana a declarar uma emergência estadual. Um segundo incidente ocorreu em novembro, quando um segundo ataque de ransomware criptografou dados da rede de TI do governo. 🔒
  18. Um ataque de ransomware a uma empresa de TI em Wisconsin afetou mais de 100 casas de repouso nos Estados Unidos. De acordo com o KrebsOnSecurity, a empresa atacada, Virtual Care Provider Inc. (VCPI), oferece consultoria em TI, acesso à Internet, hospedagem de dados e serviços de segurança a essas casas, e o ataque impede que esses centros de atendimento acessem registros médicos cruciais dos pacientes. 😡 No total, a VCPI é responsável por manter aproximadamente 80 mil computadores e servidores que auxiliam as instalações médicas. O ataque ocorreu no dia 17 de novembro. A variação do ransomware utilizada para o crime foi a Ryuk. Todos os dados que a empresa hospeda para seus clientes foram criptografados, e o resgate solicitado foi de US$ 14 milhões para desbloquear os arquivos. As instalações de atendimento que a VCPI atende acessam seus registros e outros sistemas terceirizados por meio de uma plataforma de rede virtual privada (VPN) baseada no sistema Citrix. Restaurar o acesso do cliente a essa funcionalidade é a principal prioridade da empresa no momento. A VCPI declarou, contudo, que não pode pagar o valor do resgate exigido e disse que alguns clientes correm o risco de ter que fechar as portas se a empresa não conseguir se recuperar do ataque. 😞
  19. A Everis, provedora de software espanhola que pertence ao grupo NTT Data, sofreu um ataque do ransomware BitPaymer nesta segunda-feira e teve seus sistemas criptografados. Segundo o site BleepingComputer, após o início do ataque, a companhia enviou um comunicado interno informando que estava sob um "ataque massivo de vírus em sua rede" e orientou os funcionários a manterem suas máquinas desligadas. As redes foram desconectadas dos clientes e entre os escritórios. O ransomware criptografou os arquivos dos sistemas da empresa usando a extensão .3v3r1s. Os atacantes enviaram nota à Everis informando sobre o ataque e solicitando 750 mil euros para desbloquear os arquivos, segundo o bitcoin.es. 💸 Além da Everis, a rede de estações de rádio espanhola Cadena SER também sofreu um ataque de ransomware hoje, dessa vez, com variação desconhecida. A rede divulgou nota oficial informando sobre o ataque. Todos os computadores foram desconectados, mas suas atividades continuam por meio de um auxiliar da sede em Madri. O INCIBE, Instituto Nacional de Ciberseguridad da Espanha, está ajudando a estação de rádio a restaurar seus dados criptografados e a colocar seus sistemas online novamente. Há uma suspeita de que os ataques exploram o BlueKeep (CVE- 2019-0708), vulnerabilidade descoberta na implementação do Remote Desktop Protocol da Microsoft, mas não há evidências para apoiar essa teoria, apesar de, supostamente, a Everis ter centenas de servidores diretamente expostos a conexões com a Internet.
  20. A empresa de segurança ESET divulgou a descoberta de um novo ransomware que ataca aparelhos com sistema Android via SMS. Denominado Android/Filecoder.C, o ransomware utiliza a lista de contatos da vítima para enviar mensagens com links maliciosos. Ele foi distribuído por meio de mensagens no Reddit, em um tópico relacionado a pornografia, além de também ter aparecido no XDA Developers, fórum destinado a desenvolvedores Android. Apesar do perfil utilizado para distribuição da campanha do ransomware ter sido divulgado pela ESET, ele ainda está ativo, mas as publicações maliciosas foram removidas dos fóruns. Aparentemente, o ransomware é quase inofensivo. A empresa de segurança ressalta que a campanha é pequena e relativamente amadora, pois o próprio ransomware contém falhas e, inclusive, foi mal encriptado. "Todos os arquivos criptografados podem ser recuperados sem a ajuda dos invasores", diz a ESET no comunicado oficial, em inglês. Entre as falhas do Android/Filecoder.C está a exclusão de grandes arquivos, acima de 50 MB e de imagens pequenas, menores que 150 KB. Além disso, a lista dos arquivos para criptografar contém muitas entradas não relacionadas a Android, e também excluem algumas das extensões típicas do sistema operacional. A ESET acredita que a lista de arquivos foi copiada do famoso ransomware WannaCry. O Android/Filecoder.C também não bloqueia a tela, o que impediria que o usuário acesse o dispositivo após a invasão. 🤦‍♀️ Uma novidade do ransomware é que o resgate dos dados não possui um valor definido, mas sim é criado dinamicamente utilizando o UserID atribuído pelo ransomware à vítima específica, resultando em um valor exclusivo para o resgate. Apesar de ter um perfil diferente dos ransomwares tradicionais e apresentar falhas, a ESET alerta que se elas forem corrigidas e a distribuição do ransomware avançar, ele pode se tornar uma séria ameaça. 😬
  21. Um ataque de ransomware à petroleira estatal mexicana Petroleos Mexicanos (Pemex) interrompeu os sistemas de cobrança da empresa. De acordo com a Bloomberg, a Pemex teve que recorrer ao faturamento manual de pagamento de funcionários e fornecedores após o ataque. No setor de refino, alguns funcionários não conseguiram acessar e-mails ou a Internet na semana passada, e os computadores estavam operando mais devagar. A Pemex disse em um post no Twitter que os terminais de armazenamento de combustível estavam operando regularmente e o fornecimento de gasolina estava garantido. Há indicações de que o malware implantado no Pemex pode ser o DoppelPaymer, de acordo com a empresa de segurança cibernética Crowdstrike Inc. Esse ransomware foi visto pela primeira vez em ataques ocorridos em junho e que são tipicamente executados contra “alvos de alto valor”, como uma organização de assistência médica, distrito escolar ou gráfica. Normalmente, os alvos são companhias que estão "em alta", se sentindo compelidas a pagar um resgate.
  22. Nemty é o novo ransomware descoberto por pesquisadores recentemente. A sua nomenclatura vem em "homenagem" à extensão que é adicionada aos arquivos após o processo de criptografia ele mesmo faz. De acordo com o BleepingComputer, o Nemty exclui as cópias de sombra dos arquivos que encripta, afastando a vítima da possibilidade de recuperar versões anteriores criadas pelo sistema operacional Windows, tendo assim que pagar para descriptografar os dados. O curioso desse ransomware é o fato dele usar uma verificação para identificar computadores na Rússia, Bielorrússia, Cazaquistão, Tajiquistão e Ucrânia. A verificação "isRU" no código do malware marca os sistemas em um dos cinco países de idioma russo, e envia ao invasor dados que incluem o nome do computador, nome de usuário, sistema operacional e ID do computador. O Nemty também se utiliza de referências russas, como um link para uma foto de Vladimir Putin. O ransomware também possui um nome incomum para o objeto mutuamente exclusivo (mutex) criado no sistema operacional. O autor o chamou de "hate" (ódio). O mutex é um sinalizador que permite que os programas controlem recursos. O atacante lança mão de conexões RDP para ficar no controle e fazer novas vítimas. Essas peculiaridades do Nemty indicam que o ransomware provavelmente possui alvos específicos, o que podemos entender quase como um caso de "ransomware dirigido", em alusão aos ataques dirigidos ou direcionados à uma certa corporação ou setor na indústria.
  23. Os crimes cibernéticos estão crescendo tanto que seguradoras americanas estão começando a enxergar uma nova oportunidade de negócios — oferecer cobertura para caso de ataques de ransomware. De acordo com o The Register, uma seguradora da Califórnia chamada Mercury Insurance já iniciou a oferta desse tipo de cobertura para clientes no início do mês. Além da cobertura do seguro, o usuário afetado também pode obter assistência profissional de especialistas em extorsão cibernética para lidar com os ataques de ransomware. A cobertura inclui uma franquia de US$ 500 por ocorrência, podendo ser adicionado o valor anual de US$ 30 para um limite de cobertura de US$ 25 mil, e US$ 41 para um limite de cobertura de US$ 50 mil. Apesar de parecer um bom negócio, já que os ataques de ransomware estão crescendo especialmente nos Estados Unidos, especialistas colocam em dúvida se esse tipo de seguro pode ajudar a aumentar os cibercrimes. Isso porque os grandes pagamentos das seguradoras podem começar a chamar a atenção dos cibercriminosos, que até então tinham como principais alvos as empresas, por ter mais chances de receber o pagamento pelo resgate das informações. Mas caso usuários domésticos comecem a contratar esses seguros, especialistas acreditam que eles podem se tornar vítimas mais frequentes das invasões com bloqueio de dados e pedido de resgate. 🤦‍♀️
  24. Recentemente, os cibercriminosos por trás do conhecido ransomware GrandCrab anunciaram que estão encerrando suas atividades após, supostamente, faturar mais de $ 2 bilhões em pagamentos de vítimas que foram extorquidas. O GrandCrab é uma ameaça de computador que leva a corrupção ou perda de dados invadindo secretamente um dispositivo e exibindo anúncios ao mesmo tempo que rouba informações e dados sensíveis das vítimas. Apesar do comunicado de que terminaram as invasões com essa ameaça, os mesmos cibercriminosos podem ter migrado para outro ransomware mais exclusivo e avançado chamado de Revil, também conhecido como Sodin e Sodinokibi. Em abril, o Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, divulgou que uma nova família de ransomware estaria usando vulnerabilidades do Oracle WebLogic para infectar computadores. Um mês depois, o GrandCrab anunciou seu encerramento. Em meados de maio, conforme aponta o site KrebsOnSecurity, um indivíduo utilizando o nickname "Unknow" começou a fazer depósitos de mais de US$ 130 mil em moedas virtuais em dois fóruns de cibercrime, o que seria uma oferta para contratar pessoas em um novo programa de ransomware, ainda sem nome. Na oferta, cinco afiliados poderiam participar do programa, mas não foram divulgados seus detalhes técnicos. Uma das evidências de que o REvil/Sodinokibi e o GrandCrab vieram da mesma equipe é que ambos incluíram a Síria na lista de países que devem ser evitados de infectar. Após um ataque específico no país e que chamou a atenção da mídia e dos desenvolvedores do ransomware, uma chave de descriptografia foi desenvolvida permitindo que todas as vítimas do GrandCrab na Síria abrissem seus arquivos gratuitamente. Outra semelhança entre as ameaças está na forma como o GandCrab e o REvil geram as URLs usadas como parte do processo de infecção. Esses são alguns indicativos de que a equipe do GandCrab não se aposentou, mas talvez tenha se reagrupado e mudou de marca para evitar investigações, já que o ransomware chamava muita atenção de pesquisadores de segurança e investigadores da lei. 🧐
  25. Apesar do Dharma ransomware circular desde 2016, ele segue com ataques bem sucedidos entre usuários e organizações ao redor do mundo. Segundo notícia publicada pela Trend Micro, o último ataque mais sério realizado por esse ransomware foi em novembro de 2018 e o alvo foi um hospital no Texas, nos Estados Unidos. A Trend Micro descobriu que novas versões do Dharma estão usando uma nova técnica: a instalação de um software de antivírus como forma de distrair o usuário e ocultar atividades maliciosas. Essas versões do ransomware estão sendo distribuídas por e-mail, via spam, o que normalmente faz com que o usuário baixe arquivos. Se o usuário clicar no link, ele recebe uma senha antes de abrir o arquivo de extração automática, que é denominado Defender.exe. Esse arquivo também contém o arquivo malicioso taskhost.exe e o instalador de uma versão antiga do ESET AV Remover renomeado como Defender_nt32_enu.exe. É justamente o antigo instalador do antivírus da ESET que distrai o usuário enquanto o ransomware criptografa os arquivos da vítima. A Trend Micro alerta que o ransomware será executado mesmo se a instalação da ferramenta não for acionada. O processo de instalação é só uma forma de distrair a vítima. A ESET foi informada do problema.
×
×
  • Create New...