Search the Community

O secretário-geral da Interpol, Jürgen Stock (foto), convocou agências policiais em todo o mundo para formar uma coalizão global com parceiros da indústria para prevenir uma potencial pandemia de ransomware. A intenção é interromper efetivamente o ransomware ao adotar a mesma colaboração internacional usada para combater o terrorismo, o tráfico humano ou grupos de máfia. Segundo comunicado da Interpol, a convocação para expandir a colaboração contra o ransomware foi feita a partir de uma preocupação com o crescimento exponencial desse tipo de ataque no ecossistema do crime cibernético mais amplo, já que criminosos estão mudando seu modelo de negócios para fornecer Ransomware-as-a-Service (ransomware como serviço). O Secretário-Geral da Interpol afirmou que os criminosos de ransomware estão continuamente adaptando suas táticas, operando sem fronteiras e quase com impunidade. “Assim como a pandemia, o ransomware está evoluindo para diferentes variantes, proporcionando altos lucros financeiros aos criminosos”, disse. Ele alertou ainda que o ransomware se tornou uma ameaça muito grande para qualquer entidade ou setor resolver sozinho, e a magnitude desse desafio exige urgentemente uma ação global unida, colocando a Interpol como facilitadora. O Fórum Econômico Mundial está atuando em parceria com a Interpol para moldar arquiteturas globais que apoiem essa colaboração e explorem maneiras de encorajar medidas responsáveis. “O ransomware está emergindo como o equivalente ao 'Velho Oeste' do espaço digital, onde qualquer pessoa, em qualquer ponto do tempo, pode se tornar uma vítima. Limitar o ransomware exige esforços coletivos de todos para melhorar a higiene cibernética em todos os setores, aumentar os custos e riscos para os cibercriminosos por meio de esforços disruptivos e reduzir a recompensa aos criminosos”, disse Tal Goldstein, chefe de estratégia do Centro de Segurança Cibernética do Fórum Econômico Mundial. (Crédito da imagem: Interpol)

O ataque cibernético da gangue de ransomware Revil a empresas da cadeia de suprimentos da companhia americana Kaseya pode ter atingido até 1,5 mil negócios. A informação foi fornecida pela própria Kaseya em comunicado divulgado nesta terça-feira, 6 de julho. O ataque coordenado ocorreu na última sexta-feira e afetou empresas usuárias do produto da Kaseya chamado VSA, que oferece uma série de funções típicas de administração remota. Saiba mais na edição do 0news desta segunda-feira. Segundo o comunicado da companhia, cerca de 800 mil a 1 milhão de pequenas empresas ou empresas locais são gerenciadas pelos clientes da Kaseya, e apenas cerca de 800 a 1,5 mil foram comprometidas. A Kaseya afirma ainda que respondeu rapidamente ao ataque de ransomware, mitigando o impacto. O comunicado conta que a Kaseya foi alertada sobre um possível ataque de fontes internas e externas no dia 2 de julho, fechando imediatamente o acesso ao software em questão, o que fez com que apenas aproximadamente 50 dos mais de 35 mil clientes da Kaseya fossem violados. Depois disso, uma equipe interna de resposta a incidentes, em parceria com especialistas do setor em investigações forenses, entrou em ação para determinar a natureza do ataque. Agências governamentais de segurança cibernética e de aplicação da lei, incluindo o FBI e a Agência de Segurança Cibernética e Infraestrutura (CISA), foram notificadas. A maioria dos clientes da Kaseya são provedores de serviços gerenciados, usando a tecnologia da companhia para gerenciar a infraestrutura de TI para empresas locais e pequenas com menos de 30 funcionários, como consultórios de dentistas, pequenos escritórios de contabilidade e restaurantes locais.“Nossas equipes globais estão trabalhando 24 horas por dia para colocar nossos clientes de volta em operação”, disse Fred Voccola, CEO da Kaseya, no comunicado. (Imagem: Divulgação/Facebook)

A gangue Babuk parece ter voltado ao antigo hábito de criptografar redes corporativas. Segundo o BleepingComputer, os criminosos tinham anunciado sua saída do negócio em abril, mas estão atualmente usando uma nova versão de seu malware de criptografia de arquivos e mudaram a operação para um novo site de vazamento. O grupo de ransomware Babuk ficou conhecido no início do ano, mas alega que seus ataques começaram em meados de outubro de 2020, visando empresas em todo o mundo e exigindo resgates entre $ 60 mil e $ 85 mil em Bitcoin. Uma das vítimas mais divulgadas é o Departamento de Polícia Metropolitana (MPD) de Washinton DC. O BleepingComputer diz que esse ataque provavelmente levou a gangue a anunciar sua aposentadoria do negócio de ransomware apenas para adotar outro modelo de extorsão que não incluía criptografia. A gangue também anunciou planos de lançar seu malware para que outros cibercriminosos pudessem iniciar uma operação de ransomware como serviço, e acabou publicando seu construtor, uma ferramenta que gera ransomware personalizado. O pesquisador de segurança Kevin Beaumont o encontrou no VirusTotal e compartilhou as informações para ajudar a comunidade de segurança na detecção e descriptografia.

A multinacional japonesa Fujifilm confirmou oficialmente que sofreu um ataque de ransomware no início desta semana, interrompendo as operações de negócios. A empresa publicou em seu site um comunicado atualizado em 3 de junho de 2021 informando que o ataque ocorreu no dia 1º deste mês. "Em 1º de junho, a Fujifilm Corporation em Tóquio tomou conhecimento da possibilidade de um ataque de ransomware. Por excesso de cautela, a Fujifilm Corporation imediatamente tomou a medida preventiva de desligar sua rede e servidores em todas as regiões", diz o aviso. Após uma investigação inicial, a empresa diz não haver evidências de qualquer impacto na rede ou em quaisquer servidores ou outros equipamentos ou sistemas de rede na região das Américas, incluindo e-mail, e que não detectou nenhuma perda, destruição, alteração ou uso não autorizado de dados de sistemas nesta região. "Dessa forma, colocamos a rede, os servidores e os sistemas eletrônicos das Américas novamente online em 3 de junho", informou. "Esperamos que nossos negócios na região das Américas estejam totalmente operacionais em 4 de junho", complementa o comunicado. Em conversas com funcionários da Fujifilm, o BleepingComputer soube anteriormente que o problema já era conhecido internamente como um ataque causado por ransomware e que a empresa foi forçada a derrubar partes de sua rede em todo o mundo. A interrupção da rede impediu o acesso ao e-mail, ao sistema de faturamento e a um sistema de relatórios. Não se sabe se a Fujifilm pagou o resgate.

Os desenvolvedores do ransomware Zeppelin retomaram suas atividades após um período de silêncio de alguns meses. Segundo o BleepingComputer, uma variante recente do malware foi disponibilizada em um fórum clandestino no final do mês passado e descoberta pela empresa de prevenção de ameaças e perdas Advanced Intel (AdvIntel). O ransomware Zeppelin também é conhecido como Buran e tem sua origem na família Vega/VegaLocker, um ransomware como serviço baseado em Delphi observado em fóruns de hackers de língua russa em 2019. A cepa Zeppelin é vendida em fóruns clandestinos, permitindo que os compradores decidam como querem usar o malware. Isso contrasta com as operações de ransomware como serviço clássicas, em que os desenvolvedores geralmente procuram parceiros para invadir a rede da vítima, roubar dados e implantar o malware de criptografia de arquivo, dividindo os resgates pagos. Os desenvolvedores anunciaram uma atualização para o ransomware junto com uma nova rodada de vendas pelo valor de US$ 2,3 mil por núcleo construído. Após a atualização, os desenvolvedores do Zeppelin lançaram a nova variante com poucas mudanças em termos de recursos, aumentando a estabilidade da criptografia. Características do Zeppelin – Segundo a AdvIntel, o Zeppelin é uma das poucas operações de ransomware no mercado que não adota o modelo como serviço puro. Os desenvolvedores trabalham supostamente em um escopo de operações mais amplo com parceiros próximos que compraram o malware. A empresa de segurança alerta que o Zeppelin pode dificultar o combate à ameaça do ransomware, pois o acesso ao malware permite que outros desenvolvedores roubem recursos de seus produtos. Ela afirma ainda que os usuários do Zeppelin são compradores individuais que não complicam seus ataques e contam com vetores de ataque iniciais comuns. Além disso, os operadores do Zeppelin não têm um site de vazamento, como a maioria dos grupos de ransomware como serviço. Eles se concentram em criptografar os dados, mas não em roubá-los. Assim, a AdvIntel pontua que o ransomware Zeppelin é preocupante, pois os ataques com essa cepa podem ser difíceis de detectar, especialmente quando novos downloaders são usados.

A operação de ransomware DarkSide foi supostamente encerrada depois que os agentes da ameaça perderam o acesso aos seus servidores. Segundo o BleepingComputer, a carteira de criptomoeda da operação foi transferida para uma carteira desconhecida. A notícia, descoberta primeiramente pelo pelo pesquisador da Recorded Future, Dmitry Smilyanets, foi compartilhada por um ator de ameaças conhecido como 'UNKN', o representante público da gangue rival de ransomware REvil. Pesquisadores da Kaspersky também compartilharam com o Threatpost um mensagem da gangue do DarkSide dizendo que haviam perdido o acesso à parte pública de sua infraestrutura, especificamente os servidores de seu blog, processamento de pagamento e negação de serviço (DoS). A gangue arrecadou US$ 9,4 milhões em pagamentos de resgate esta semana das empresas Brenntag e Colonial Pipeline, sendo esta última um dos maiores oleodutos dos Estados Unidos, que sofreu graves decorrências após o ataque cibernético, conforme informou o The Guardian. Após o ataque, a Colonial Pipeline disse que fechou seus 5.500 milhas de oleoduto, que transporta 45% do abastecimento de combustível da costa leste do país. O Intel471 obteve acesso à mensagem completa enviada aos afiliados da operação de ransomware como serviço DarkSide. A mensagem diz que o DarkSide decidiu encerrar sua operação "devido à pressão dos Estados Unidos" e depois de perder o acesso a seus servidores públicos. O fim das atividades do DarkSide coincide com o anúncio das autoridades americanas sobre a intenção de perseguir a gangue. O presidente dos Estados Unidos Joe Biden disse que o país iria atrás do grupo depois que um de seus ataques paralisou o importante oleoduto de transporte de combustível. O próprio FBI divulgou comunicado se comprometendo com as investigações acerca do ataque: Ainda não há confirmação sobre o envolvimento das autoridades americanas no encerramento da operação DarkSide.

A Força-Tarefa de Ransomware (Ransomware Task Force – RTF), ampla coalizão de especialistas da indústria, governo, agentes da lei, organizações sem fins lucrativos, empresas de seguro de segurança cibernética e organizações internacionais, compartilhou uma estrutura de ações para interromper o modelo de negócios do ransomware. O grupo foi formado no final do ano passado com a proposta de fazer um sprint de dois a três meses para avaliar as soluções existentes em vários níveis da cadeia de eliminação do ransomware, identificando lacunas na aplicação da solução e criando um roteiro de objetivos concretos e marcos acionáveis para tomadores de decisão de alto nível. Em relatório divulgado nesta quinta-feira, 29 de abril, o grupo elencou recomendações informadas por uma ampla bancada de especialistas, imediatamente acionáveis, formando uma estrutura para reduzir o empreendimento criminoso chamado ransomware. "Ransomware não é mais apenas um crime financeiro; é um risco urgente à segurança nacional que ameaça escolas, hospitais, empresas e governos em todo o mundo", diz a RTF. Entre as recomendações prioritárias para combater ataques de ransomware estão: Esforços internacionais diplomáticos e policiais coordenados devem priorizar proativamente o ransomware por meio de uma estratégia abrangente e com recursos, incluindo o uso de uma abordagem de incentivo e punição para impedir que os estados-nação forneçam refúgios seguros aos criminosos do ransomware. Os Estados Unidos deveriam liderar pelo exemplo e executar uma campanha anti-ransomware sustentada, agressiva, de todo o governo, impulsionada pela inteligência, coordenada pela Casa Branca. Nos EUA, isso deve incluir o estabelecimento de 1) um Grupo de Trabalho Interagências liderado pelo Conselho de Segurança Nacional em coordenação com o nascente Diretor Nacional de Cibernética; 2) uma Força-Tarefa Conjunta de Ransomware interna do Governo dos Estados Unidos; e 3) um Centro de Foco em Ameaças de Ransomware informal, colaborativo e privado, liderado pelo setor privado. Os governos devem estabelecer fundos de resposta e recuperação cibernética para apoiar a resposta a ransomware e outras atividades de segurança cibernética; exigir que as organizações relatem pagamentos de resgate; e exigir que as organizações considerem alternativas antes de fazer pagamentos. Um esforço coordenado internacionalmente deve desenvolver uma estrutura clara, acessível e amplamente adotada para ajudar as organizações a se prepararem e responderem a ataques de ransomware. Em alguns setores com poucos recursos e mais críticos, incentivos (como redução de multas e financiamento) ou regulamentação podem ser necessários para impulsionar a adoção. O setor de criptomoedas que permite o crime de ransomware deve ser regulamentado de forma mais rigorosa. Os governos devem exigir que as trocas de criptomoedas, quiosques de criptografia e "balcões" de negociação (OTC) cumpram as leis existentes. A RTF diz ainda que essa estrutura estratégica visa ajudar os formuladores de políticas e líderes da indústria a tomarem medidas em nível de sistema, por meio de legislação potencial, financiamento de novos programas ou lançamento de novas colaborações em nível de indústria. "Isso ajudará a comunidade internacional a construir resistência, interromper o modelo de negócios de ransomware e desenvolver resiliência para essa ameaça", diz o relatório. A estrutura foi organizada em torno de quatro objetivos: impedir ataques de ransomware por meio de uma estratégia abrangente coordenada nacional e internacionalmente; interromper o modelo de negócios do ransomware, reduzindo os lucros criminosos; ajudar as organizações a se prepararem para ataques de ransomware; e responder a ataques de ransomware de forma mais eficaz."Será necessário nada menos do que nosso esforço coletivo total para mitigar o flagelo do ransomware", diz a RTF no relatório.

Uma gangue de ransomware levou cinco dias para criptografar milhares de dispositivos QNAP utilizando o programa de arquivamento 7zip. Segundo o BleepingComputer, por meio desse mecanismo de criptografia, os atacantes conseguiram extorquir um total de US$ 260 mil das vítimas. A operação de ransomware chamada Qlocker explorou vulnerabilidades nos dispositivos QNAP NAS sem precisar criar seu próprio programa de malware. A gangue procurou dispositivos conectados à Internet e os exploraram usando as vulnerabilidades divulgadas recentemente, o que permitiu a execução remota do utilitário de arquivamento 7zip para proteger com senha todos os arquivos nos dispositivos de armazenamento NAS das vítimas. Em apenas cinco dias, estima-se que mais de mil, senão milhares de dispositivos foram criptografados. Para isso, os atacantes utilizaram um algoritmo de criptografia embutido no utilitário de arquivamento 7zip. Como os alvos do Qlocker eram consumidores e proprietários de pequenas e médias empresas que utilizam dispositivos QNAP NAS para armazenamento de rede, os pedidos de resgate foram de apenas 0,01 Bitcoins, o que representa cerca de US$ 500, fazendo com que os pagamentos rendessem aos criminosos um retorno considerável em alguns dias de atividade. O BleepingComputer diz que essa campanha de ransomware ainda está em andamento, com novas vítimas aparecendo todos os dias. Portanto, todos os usuários do QNAP devem atualizar as versões mais recentes dos aplicativos Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync para corrigir as vulnerabilidades e se proteger contra esses ataques.

Os operadores do ransomware REvil estão exigindo que a Apple pague um pedido de resgate para evitar que informações confidenciais da empresa vazem na dark web. Segundo a empresa de segurança Recorded Future, a equipe do REvil afirma que tem a posse dos dados de produtos da Apple após violar a Quanta Computer, empresa taiwanesa fabricante de laptops e uma das empresas que montam produtos oficiais da Apple. A Recorded Future teve acesso a uma mensagem publicada em um portal da dark web onde a gangue do ransomware geralmente ameaça as vítimas e vaza seus dados. Na mensagem, a gangue do REvil diz que a Quanta se recusou a pagar para obter seus dados roubados de volta e, como resultado, o próximo alvo será o cliente principal da empresa. A gangue publicou ainda 21 screenshots falando sobre o novo MacBook da Apple, ameaçando publicar novos dados todos os dias até que a própria companhia ou a Quanta pagassem o resgate. Além disso, há possibilidade de que dados de outras empresas também vazem online. Os clientes conhecidos da Quanta Computer incluem, além da Apple, a HP, a Dell, a Microsoft, a Toshiba, a LG, a Lenovo, entre outros, diz a Recorded Future. O resgate pedido à Quanta foi de US$ 50 milhões, mas não está claro quanto dinheiro a gangue está tentando extorquir da Apple agora. A tentativa de extorsão também foi planejada para ter máxima visibilidade coincidindo com o evento Spring Loaded, realizado no dia 20 de abril, onde a Apple anunciou novos produtos e atualizações de software. Ainda segundo a Recorded Future, a gangue do REvil disse que a Apple tem até o dia 1º de maio para tentar obter seus arquivos de volta por meio do pagamento de resgate.

Um novo ransomware autodenominado NitroRansomware criptografa arquivos da vítima e exige um código Discord Nitro para descriptografá-los. Segundo o BleepingComputer, o ransomware parece ser distribuído como uma ferramenta falsa, afirmando que pode gerar códigos Nitro gratuitos. Embora o Discord seja gratuito, há um complemento de assinatura do Nitro por US$ 9,99 que oferece vantagens adicionais, como uploads maiores, streaming de vídeo em HD, emojis aprimorados e a capacidade de aumentar seu servidor favorito. Ao comprar uma assinatura do Nitro, os usuários podem aplicá-la em sua própria conta ou dar de presente para outra pessoa. Quando executado, o NitroRansomware criptografa os arquivos de uma pessoa e anexa a extensão .givemenitro aos arquivos criptografados. Depois, uma tela de ransomware é exibida exigindo um código Nitro dentro de três horas, sob a ameaça de excluir os arquivos criptografados da vítima. As amostras de ransomware vistas pelo BleepingComputer, contudo, não excluem nenhum arquivo quando o cronômetro chega a zero. Ainda assim, além de criptografar os arquivos, o ransomware também executa outras atividades maliciosas no computador da vítima, e os atacantes tentam, inclusive, roubar os tokens do Discord da vítima. Quando o NitroRansomware é iniciado, ele procura o caminho de instalação do Discord do usuário afetado e, em seguida, extrai tokens de usuário que são enviados de volta ao ator da ameaça por meio de um webhook do Discord. Como parte desse processo, o malware também tenta roubar dados do Google Chrome, Brave Browser e Yandex Browser. O BleepingComputer recomenda que os usuários infectados por este ransomware alterem sua senha do Discord.

Uma vulnerabilidade que afeta VPNs da Fortinet está sendo explorada por uma nova cepa de ransomware operada por humanos, o Cring, que viola e criptografa redes de empresas do setor industrial. De acordo com o BleepingComputer, o ransomware Cring, também conhecido como Crypt3r, Vjiszy1lo, Ghost e Phantom, foi descoberto em janeiro e detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom. Relatório da Kaspersky revelou que os invasores têm explorado servidores Fortigate SSL VPN expostos à Internet e não corrigidos contra a vulnerabilidade CVE-2018-13379, permitindo a violação da rede de seus alvos. A partir do dispositivo Fortinet VPN, os operadores Cring movem-se lateralmente na rede corporativa de destino, roubando credenciais de usuário do Windows, usando Mimikatz para obter o controle da conta do administrador de domínio. As cargas úteis do ransomware são entregues aos dispositivos nas redes das vítimas usando a estrutura de emulação de ameaças Cobalt Strike implantada por meio de um script PowerShell malicioso. O ransomware criptografa apenas arquivos específicos nos dispositivos comprometidos usando algoritmos de criptografia robustos após remover os arquivos de backup e eliminar os processos do Microsoft Office e do Oracle Database. Em seguida, ele envia notas de resgate avisando as vítimas de que sua rede foi criptografada e que elas precisam pagar o resgate. As vítimas têm usado o serviço ID-Ransomware para verificar se seus sistemas foram atingidos pelo ransomware Cring desde que a operação apareceu pela primeira vez, em dezembro de 2020. Desde o final de janeiro, 30 amostras de ransomware Cring foram enviadas até o momento, diz o BleepingComputer.

A fabricante taiwanesa de eletrônicos e computadores Acer foi atingida por um ataque do ransomware REvil. Segundo informações obtidas pelo BleepingComputer, os atacantes estão exigindo um resgate de US$ 50 milhões. O BleepingComputer teve acesso a informações do site da gangue de ransomware dizendo que a Acer havia sofrido o ataque, compartilhando algumas imagens de arquivos supostamente roubados como prova. Em resposta às perguntas do BleepingComputer, a Acer não declarou se sofreu um ataque do ransomware REvil, dizendo apenas que "relataram situações anormais recentes". A Acer disse ainda que monitora rotineiramente seus sistemas de TI e a maioria dos ataques cibernéticos está bem defendida. "Empresas como nós estão constantemente sob ataque e relatamos situações anormais recentes observadas às autoridades policiais e de proteção de dados relevantes em vários países". A Acer complementou dizendo que "há uma investigação em andamento" e que por questões de segurança não poderia comentar os detalhes.

Mais uma empresa da área de tecnologia foi vítima de um ataque de ransomware. A Stratus Technologies informou que sofreu o incidente no dia 17 de março. "Ao detectar atividades suspeitas, colocamos vários sistemas offline para isolar o problema e iniciamos nosso plano de continuidade de negócios", diz comunicado da companhia. A empresa informa ainda que as autoridades policiais federais foram notificadas sobre o ataque, e especialistas no assunto recrutados para avaliar a natureza e o escopo do incidente. "Como medida de precaução, colocamos offline o Active Service Network (ASN) e o Stratus Service Portal. Com relação ao ASN, entramos em contato com nossos clientes e parceiros para fornecer mais suporte", diz o comunicado assinado por Dave Laurello, Presidente e CEO da Stratus Technologies. Os produtos Stratus são comumente usados por bancos, provedores de telecomunicações, call centers de emergência e serviços de saúde. Seu principal foco é a produção de servidores e software de computadores tolerantes a falhas.

No início de março, foi noticiado que pelo menos 30 mil organizações só nos Estados Unidos foram invadidas por uma unidade de espionagem cibernética agressiva chinesa que se concentra em roubar e-mails das vítimas. A invasão ocorre por meio da exploração de quatro falhas recém-descobertas no software de e-mail Microsoft Exchange Server, que foram corrigidas pela Microsoft. Mas aparentemente as gangues de ransomware também estão começando a explorar os servidores vulneráveis. Segundo reportagem da Vice, os cibercriminosos estão entrando em cena para tentar monetizar os servidores de e-mail não corrigidos. A Microsoft relatou ter detectado um novo tipo de ransomware direcionado aos servidores Exchange chamado DoejoCrypt ou DearCry. Um pesquisador de segurança da própria Microsoft diz que os atacantes ainda estão em uma fase preliminar, classificando quais organizações eles invadiram antes de decidir onde vão tentar monetizar. A Vice informou também que os cibercriminosos precisam visar e explorar manualmente os servidores Exchange, e não há evidências de que eles possam fazer o ransomware se espalhar de forma automatizada. Ainda assim, atacantes relativamente pouco sofisticados, estão entrando na onda de exploração dos servidores Exchange. Isso leva novos desafios às empresas que, muitas vezes, podem nem saber como descobrir se foram comprometidas, diz a reportagem. De acordo com a Palo Alto Networks, ainda existem cerca de 80 mil servidores Exchange vulneráveis.

Documentos da Qualys foram vazados em um site da dark web, o que indica que a empresa de segurança pode ter sofrido um ataque do ransomware Cl0p. Quem relatou o possível ataque foi o DarkTracer. Os documentos vazados incluem contratos recentes e confidenciais da companhia, que estariam sendo colocados à venda pelos operadores do Cl0p pela falta de pagamento do ransomware. Até o momento, a empresa não se manifestou publicamente sobre o suposto ataque. Infelizmente, não é a primeira vez que uma empresa de segurança sofre um ataque. Em dezembro do ano passado, a FireEye foi hackeada por um atacante altamente sofisticado, que roubou várias ferramentas de seu red team. Na ocasião, a própria empresa comunicou o ocorrido.

Pesquisadores detectaram que uma variante do ransomware Ryuk pode se propagar como um worm nas redes locais. Segundo o ThreatPost, a nova versão surgiu pela primeira vez em campanhas voltadas para o Windows no início de 2021. A descoberta foi da Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI), que disse que a variante alcança a auto-replicação por meio da varredura de compartilhamentos de rede e, em seguida, copiando uma versão exclusiva do executável do ransomware para cada um deles à medida que são encontrados. Uma vez iniciado, o Ryuk se espalhará em todas as máquinas acessíveis nas quais os acessos de Chamada de Procedimento Remoto do Windows sejam possíveis, dizem os pesquisadores. A nova versão do Ryuk também lê as tabelas do protocolo de resolução de endereços (ARP) dos dispositivos infectados, que armazenam os endereços IP e endereços MAC de todos os dispositivos de rede com os quais as máquinas se comunicam. Em seguida, ele envia um pacote “Wake-On-LAN” para cada host, com o objetivo de despertar os computadores desligados. Para cada host identificado, o Ryuk tentará montar possíveis compartilhamentos de rede usando Server Message Block (SMB), de acordo com o relatório da Agência. O SMB é uma função do Windows que permite compartilhar, abrir ou editar arquivos em computadores e servidores remotos. Assim que todos os compartilhamentos de rede disponíveis forem identificados ou criados, a carga é instalada nos novos destinos, sendo autoexecutada usando uma tarefa agendada. Isso permite que o Ryuk criptografe o conteúdo dos destinos e exclua quaisquer cópias para evitar a recuperação de arquivos. O malware também interrompe vários programas com base em listas codificadas, incluindo uma lista de 41 processos a serem eliminados e uma lista de 64 serviços a serem interrompidos. O ponto de infecção inicial é uma conta de domínio privilegiado. A análise mostra que a propagação de worms desta versão do Ryuk não pode ser impedida através do ponto de infecção inicial, sendo que uma conta privilegiada do domínio é usada para propagação de malware. Se a senha deste usuário for alterada, a replicação continuará. Uma maneira de lidar com uma infecção ativa, segundo a ANSSI, seria alterar a senha ou desabilitar a conta do usuário privilegiado e, em seguida, forçar uma alteração de senha de domínio.

Babuk Locker é uma nova operação de ransomware lançada no início de 2021. Segundo o BleepingComputer, o ransomware já acumulou uma pequena lista de vítimas em todo o mundo, visando vítimas corporativas em ataques operados por humanos. São elas: Uma empresa de elevadores e escadas rolantes Um fabricante de móveis de escritório Um fabricante de peças de automóveis Um fabricante de produtos de teste médico Uma empresa de ar condicionado e aquecedor nos Estados Unidos As negociações de resgate com vítimas vistas pelo BleepingComputer variam de US$ 60 mil a US$ 85 mil em Bitcoin. Pelo menos uma das vítimas concordou em pagar o resgate de US$ 85 mil. De acordo com um pesquisador de segurança que também o novo ransomware, a codificação do Babuk Locker é amadora, mas inclui uma criptografia segura que evita que as vítimas recuperem seus arquivos gratuitamente. Uma vez lançado, o ransomware encerra vários serviços e processos do Windows conhecidos por manter os arquivos abertos e impedir a criptografia. Os programas encerrados incluem servidores de banco de dados, servidores de correio, software de backup, e-mail e navegadores da web. Em nota de resgate há informações básicas sobre o que aconteceu durante o ataque e um link para um site Tor, simples e nada sofisticado, onde a vítima pode negociar com os operadores de ransomware. O Babuk Locker também está usando um fórum para vazar seus dados roubados. 😒

Uma ampla coalizão de especialistas da indústria, governo, agentes da lei, organizações sem fins lucrativos, empresas de seguro de segurança cibernética e organizações internacionais formou a Força-Tarefa de Ransomware (Ransomware Task Force – RTF) para lidar com ataques de ransomware. O grupo é formado por 19 nomes da área de segurança, incluindo o Institute for Security and Technology (IST). A RFT fará um sprint de dois a três meses para avaliar as soluções existentes em vários níveis da cadeia de eliminação do ransomware, identificando lacunas na aplicação da solução e criando um roteiro de objetivos concretos e marcos acionáveis para tomadores de decisão de alto nível. A Força-Tarefa encomendará ainda artigos de especialistas, envolvendo as partes interessadas em todos os setores para se unirem em torno de soluções avaliadas. Os parceiros fundadores da Força-Tarefa de Ransomware são: Aspen Digital Citrix The Cyber Threat Alliance Cybereason The CyberPeace Institute The Cybersecurity Coalition The Global Cyber Alliance The Institute for Security and Technology McAfee Microsoft Rapid7 Resilience SecurityScorecard Shadowserver Foundation Stratigos Security Team Cymru Third Way UT Austin Stauss Center Venable LLP A coalizão foi criada a partir do entendimento de que o ransomware é uma ameaça muito grande para qualquer entidade abordar sozinha. Assim, o grupo decidiu se reunir para fornecer recomendações claras sobre ações públicas e privadas que podem reduzir significativamente a ameaça representada pelo ransomware. Ao longo do tempo, esses ataques têm atingido principalmente hospitais, distritos escolares, governos municipais, além de empresas, que ficam reféns dos criminosos que buscam pagamentos para liberarem dados sequestrados. "Os incidentes de ransomware têm crescido sem controle e esse crime cibernético economicamente destrutivo tem cada vez mais consequências físicas perigosas", diz comunicado do IST. "Este crime transcende setores e requer trazer todas as partes interessadas afetadas à mesa para sintetizar uma estrutura clara de soluções viáveis, razão pela qual o IST e nossa coalizão de parceiros estão lançando esta Força-Tarefa", complementa o Instituto. O site da RTF, incluindo membros e funções de liderança, será lançado em janeiro de 2021.

Pesquisadores estão alertando sobre uma campanha de ransomware ativa que visa servidores de banco de dados MySQL. O ransomware é chamado PLEASE_READ_ME e até agora violou pelo menos 83 mil servidores em todo o mundo, publicando 250 mil bancos de dados roubados em um site para venda, segundo o Guardicore Labs. Os pesquisadores destacam que a campanha data de pelo menos janeiro de 2020 e conta com uma cadeia de ataque extremamente simples, explorando credenciais fracas em servidores MySQL voltados para a Internet – são cerca de 5 milhões de servidores MySQL voltados para a Internet em todo o mundo. O primeiro ataque à Rede de Sensores Globais da Guardicore (GGSN) foi capturado em 24 de janeiro de 2020. Desde então, um total de 92 ataques foram relatados, mostrando um aumento acentuado em seu número desde outubro. Os ataques têm origem em 11 endereços IP diferentes, a maioria localizada na Irlanda e no Reino Unido. Segundo o Guardicore Labs, os atacantes deixam um usuário backdoor no banco de dados para persistência, permitindo que eles acessem novamente a rede. Duas variantes da campanha foram testemunhadas pelos pesquisadores, que oferecem detalhes neste post. Eles afirmam ainda que a monetização da campanha evoluiu para uma tentativa de extorsão dupla, por meio de publicação e oferta de dados para venda para pressionar as vítimas a pagarem o resgate.

Faz algum tempo que ando botando mais a mão na massa na parte prática da análise de malware e nos conceitos que a envolvem. Este fato somado com minha paixão por tomar notas nos meus estudos acaba resultando na criação de alguns relatórios. Com isto em mente, decidi colocar aqui a análise do último sample no qual trabalhei, de um ransomware chamado Nephilin. Overview O Nephilin é uma variante do Nefilim, um Ransomware que acabou ficando bem conhecido no mês de fevereiro/março devido ao fato de ser uma variante do conhecido Nemty, que costumava trabalhar com operações de RaaS (Ransomware as a Service - um modelo de negócio utilizado por criminosos que facilita muito a distribuição de Ransomwares. Basicamente o criador do malware recruta pessoas para usarem o Ransomware e recebe uma parte de seus lucros, facilitando assim a distribuição e a entrada de pessoas não experientes no crime). Por mais que as formas de operação sejam diferentes, há similaridades de código entre essas três famílias de malware. Análise Estática O sample analisado foi compilado para x86 e não possui nenhuma técnica que possa dificultar nossa análise como por exemplo packers/protectors e o uso de ASLR. No entanto, este binário é assinado com um certificado válido: Olhando os imports podemos notar que a Import Directory Table possui apenas uma entrada, a da kernel32.dll, levantando a suspeita da utilização de runtime linking, ou seja, o loader não resolve o endereço das funções em tempo de carregamento, pois eles são resolvidos em tempo de execução: Podemos suspeitar ainda mais pelo fato do nome algumas DLLs estarem na lista de strings do binário, assim como o nome de algumas funções que não são exportadas pela kernel32.dll: Não vou me preocupar muito com esta parte estática da análise, tendo em vista que a ideia deste artigo é cair de cabeça em cada funcionalidade do malware, isto é, executá-lo e ir analisando seu comportamento. Análise Dinâmica A primeira função que o malware chama é a que vai criar todo o contexto de criptografia para gerar uma chave que será a chave utilizada para descriptografar a Ransom Note: Dentro desta função existem várias funções que permitem trabalhar com criptografia no Windows. A primeira função criptográfica chamada é a CryptAcquireContext, responsável por criar um handle para um key container dentro de um Cryptographic Service Provider (CSP). Após pegar o handle, o tamanho de uma string é calculado para posteriormente se criar e retornar um Hash Object dentro do CSP criado anteriormente. Esta string tem 66 bytes de tamanho (0x42 em hexa) e é uma string lotada de "a". A função CryptCreateHash cria o Hash Object especificando o tipo como SHA1 e, logo depois, a função CryptHashData tira o hash do que está dentro de um buffer de tamanho 66 bytes sendo passado como parâmetro: Por fim, o SHA1 gerado é derivado, para a geração de uma chave RC4. Como podemos ver quase todas as funções estão sendo importadas dinamicamente. ? O que acontece após a função que gera esta chave RC4 é a criação de um Mutex com o nome "sofos delaet sosos": Em seguida, uma string em base64 aparece e é decodada com a função CryptStringToBinary, resultando em uma chave pública RSA: "BgIAAACkAABSU0ExAAgAAAEAAQDNFw18bUF1x32DZaZt4gnQtAnv5XH60d9B6UgIbVfRdHPeyEljZLKlGBKFPTsh+8xsDHe/9vynuOlnuPt91grReMAwcTDVkxBh/PDkf3Jq0bnFgZAWbgMvGX6lApXTDcTArf4US63VI3z8YPyDNJwEvBEWI13ywob8ECLsrD/C6BPkYG0mBU1ccixzOgkgad0iDvwS/C8iyW1Mi0PCoBa+3TCTVwt0Zpy/HceV5U7SevG7RRN5HrErv54Ihg6kTPPhdxkYdO+CUND19aLqh8MAVLRuP5hR6b6r7cjBNAW2+USaaMyT/llNXdPdySbatLlH6Mau4z1eqzYc7hMB2f+6" Há depois uma tentativa de pegar um handle para um CSP onde o key container tem o nome "rsa session" e, sem sucesso, o binário cria um novo chamado "skr skr skr": Agora a chave pública decodada anteriormente será importada para o contexto "skr skr skr": Ações padrão da maioria dos ransomwares incluem desabilitar a checagem de erros durante o boot, desabilitar o modo de recuperação, deletar backups, etc. O Nephlin faz isso através de uma chamada à função ShellExecuteA() passando uma linha com o cmd.exe como parâmetro: "C:\\asdfgsdgasd\\..\\Windows\\asdgagsahsfahfhasahfsd\\..\\System32\\cmd.exe" "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" Aqui foi utilizada uma abordagem um tanto curiosa, tendo em vista que o malware considera diretórios que provavelmente não existirão no sistema de arquivos da vítima ("asdgagsahsfahfhasahfsd", por exemplo) e sobe um nível no filesystem utilizando ".." para acessar de fato o que importa, ou seja, o caminho real seria simplesmente "C:\Windows\System32\cmd.exe" ? Neste momento acontece uma checagem em relação à como o malware foi executado na linha de comando. Se foi passado algum parâmetro, ele checa pra ver se é um arquivo ou diretório. Se for um arquivo, ele chama direto a função que encripta. Caso seja um diretório, ele chama a função que checa uma lista de exclusão dos tipos de arquivos que ele não quer encriptar e esta função chama então a função que encripta. É interessante notar que com essas checagens o ransomware pode ser usado em diversos cenários e não simplesmente para encriptar o sistema completamente. Ex: para manualmente testar se ele está funcionando (antes da possível invasão), ser executado manualmente após a invasão visando diretórios/arquivos específicos, etc: Se nenhum parâmetro for passado via linha de comando, o binário começa a mapear os drives que estão no sistema e pegar seus tipos, buscando especificamente por drives fixos, removíveis (pen drives, etc) e mapeamentos de rede: Após pegar o drive o seu nome é concatenado com a string "NEPHILIN-DECRYPT.txt", à fim de criar a Ransom Note na raiz do Drive em questão: Após a chamada à CreateFile, podemos ver a Ransom Note sendo criada, mas vazia por enquanto: Antes do conteúdo ser de fato escrito no arquivo, ele precisa ser decodado, tendo em vista que é uma string em base64 (sim, outra string em base64): Abaixo está o buffer que contém o conteúdo da Ransom Note em base64: Após decodar o base64 o buffer aparenta estar encriptado, e de fato está: A função CryptDecrypt utiliza a chave RC4 gerada anteriormente para decriptar o conteúdo do buffer em questão. Podemos ver o conteúdo em clear text após a execução da função: Por fim podemos ver a função WriteFile, que irá escrever o conteúdo no arquivo "NEPHILIN-DECRYPT.txt" criado anteriormente: Agora que a Ransom Note foi criada, o processo de criptografia começa. O meio utilizado é através da criação de outra thread, isto é, para cada drive encontrado, uma nova thread é criada. A função CreateThread recebe como parâmetro para indicar seu início o endereço de uma função, que por sua vez chama a função que checa a lista de exclusão e depois começa a criptografia. Além disso, o nome do drive escolhido no momento é passado como parâmetro para esta função. Esta lista de exclusão é basicamente um lista que contém nomes de arquivos, diretórios e extensões das quais o malware não irá encriptar. Para cada arquivo encontrado o malware irá comparar com as especificações desta lista e, caso não bata, a função de criptografia será chamada: Criptografia A criptografia pode começar de 3 formas diferentes, como mencionado anteriormente: passando um arquivo como parâmetro pela linha de comando, passando um diretório ou mapeando os drives e criando threads. Um trecho da função que faz as devidas checagens pode ser observada abaixo: Se o arquivo checado não estiver na lista de exclusão, a função de criptografia é chamada: O processo de criptografia se inicia com a abertura do arquivo em questão e a obtenção do seu tamanho. Depois disso, há duas chamadas para a função SystemFunction036 para gerar números aleatórios. Basicamente esta função é um alias para a função RtlGenRandom, que recebe como parâmetro um buffer e o tamanho do número aleatório que você quer gerar. O tamanho escolhido são 16 bytes (0x10): Tendo 2 buffers de 10 bytes de tamanho cada, com os devidos números aleatórios gerados anteriormente, há duas chamadas à CryptEncrypt, uma para cada buffer. Aqui a chave pública RSA é utilizada para encriptar o buffer em questão, resultando em outros dois buffers de 256 bytes cada. O conjunto de funções a seguir faz a mesma operação, mas apontando para lugares diferentes. A função SetFilePointerEx é utilizada para apontar para o fim do arquivo (baseando-se no tamanho obtido anteriormente) e depois a função WriteFile é utilizada para escrever os 256 bytes encriptados lá. A próxima chamada à SetFilePointerEx agora aponta para o fim do arquivo + 256 bytes e então escreve o segundo buffer encriptado onde o ponteiro está apontando. Neste momento as checagens de tamanho de arquivo começam, assim como as chamadas de função e loops que envolvem a criptografia. A primeira checagem feita é se o arquivo é maior que 64MB e, caso seja, as funções que criptografam o arquivo começam a ser chamadas de 125KB em 125KB. Caso o arquivo seja menor há uma outra checagem para ver se ele é menor que 1.2MB e caso ele não seja as funções de criptografia rodam em cima de 600KB apenas e finalizam. Caso o arquivo seja menor que 1.2MB ele é encriptado "de uma vez" e depois finaliza. Para cada arquivo é gerada uma chave randômica com a função SystemFunction036 e depois esta é encriptada com a chave RSA pública. Esta abordagem dificulta bastante a criação de um decryptor, tendo em vista que a chave será sempre aleatória. Por outro lado, se tivemos a chave RSA privada em mãos a aleatoriedade não teria efeito nenhum pois para cada arquivo teríamos a chave responsável pela sua criptografia. Por fim a extensão ".NEPHILIN" é adicionada ao arquivo aberto: Uma coisa importante a se notar é que se a criptografia foi executada para um arquivo ou diretório específico tanto a Ransom Note quanto o wallpaper do Ransomware não são criados. Podemos observar que as funções de mapeamento de drives (que contém a criação da Ransom Note) e criação do papel de parede são ignoradas devido ao salto incondicional JMP: E por fim... Considerando ainda que não foram especificados arquivos e diretórios, a função responsável por criar a imagem do papel de parede é chamada. Há várias funções aqui e estas utilizam funções gráficas do Windows para editar a imagem em questão: Uma das funções chamadas nesta função responsável por criar a imagem é justamente a função de decoda o base64 da Ransom Note, pois o que é escrito no papel de parede é a mesma coisa da Ransom Note. Após várias funções gráficas para preparar a imagem o arquivo é finalmente criado em %TEMP%, com nome god.jpg e seu conteúdo é escrito no arquivo: Após configurar a imagem como papel de parede, o malware chama sua última função, que é responsável por fechar todos os handles e contextos de criptografia ainda pendentes: Depois disso, o processo simplesmente sai retornando 0. Lista de exclusão: NEPHILIN-DECRYPT.txt $RECYCLE.BIN NTDETECT.COM MSDOS.SYS IO.SYS boot.ini AUTOEXEC.BAT ntuser.dat desktop.ini CONFIG.SYS BOOTSECT.BAK program files program files (x86) windows ntldr RECYCLER bootmgr programdata appdata .dll .NEPHILIM .exe .log .cab .cmd .com .cpl .ini .url .ttf .mp3 .pif .mp4 .msi .lnk Espero que o estudo desta análise seja proveitoso assim como foi para mim e qualquer dúvida/feedback estou à disposição! Abraços!