GIBON Ransomware sendo distribuído por Malspam

Um novo ransomware foi descoberto pelo pesquisador da ProofPoint,  Matthew Mesa,  chamado GIBON. Este ransomware está sendo distribuído atualmente via malspam com um documento malicioso anexado, que contém macros que irão baixar e instalar o ransomware em um computador. Infelizmente, mais informações sobre o malspam atualmente não estão disponíveis no momento.

No entanto, fornecemos informações abaixo sobre o funcionamento do ransomware e graças a  Michael Gillespie , é desencriptável. Então, se você é uma vítima, você pode baixar um decodificador aqui . Se você precisar de ajuda, entre em contato conosco no nosso tópico de suporte e ajuda do GIBON Ransomware .

Por que é chamado GIBON Ransomware?

Quando um novo resgate é descoberto, nem sempre é fácil criar um bom nome para ele. Às vezes, os pesquisadores usarão as cordas encontradas nos executáveis ​​e outras vezes o malware em si nos dará pistas sobre o que devemos chamar.

Com o GIBON Ransomware, é o último como seu nome nos é fornecido dois lugares. O primeiro lugar é a seqüência de agente do usuário de GIBON que é usada quando se comunica com o servidor Command & Control.

Figura 1 – Comunicação com o servidor C2
Fonte: Bleeping Computer

A segunda localização que nos informa o nome é no painel de administração do próprio Ransomware, que é mostrado abaixo. No site abaixo, você pode ver claramente que ele se chama “Máquina de criptografia” GIBON ‘”. Para aqueles que são curiosos, o logotipo abaixo é da empresa de televisão russa VID.

Figura 2 – Painel de Administração do Gibon
Fonte: Bleeping Computer

Como o GIBON Ransomware criptografa um computador

Embora os detalhes completos sobre a sua entrega não estejam disponíveis, posso fornecer algumas informações sobre como o GIBON Ransomware criptografa um computador. Quando o GIBON for iniciado, ele se conectará ao Servidor de Comando e Controle do ransomware e registrará uma nova vítima enviando uma seqüência codificada base64 que contenha o carimbo de data / hora, a versão do Windows e a seqüência de “registro”. A presença da seqüência de registro indica ao C2 que esta é uma nova vítima infectada pela primeira vez.

O C2 enviará uma resposta que contém uma seqüência codificada base64 que será usada pela GIBON como a nota de resgate. Ao fazer com que o servidor C2 forneça a nota de resgate em vez de ser codificado no executável, o desenvolvedor pode atualizá-la sem a necessidade de compilar um novo executável.

Figura 3 – Resposta com a Nota de Resgate
Fonte: Bleeping Computer

Uma vez que uma vítima é registrada com o C2, ele gerará localmente uma chave de criptografia XOR e enviará para o servidor C2 como uma string codificada base64. Essa chave será usada para criptografar todos os arquivos no computador. Como o pedido anterior, o C2 responderá com a nota de resgate.

Agora que a vítima foi registrada e a chave transmitida para o C2, o ransomware começará a criptografar o computador. Ao criptografar o computador, ele irá segmentar todos os arquivos, independentemente da extensão, desde que não estejam na pasta do Windows.

Ao criptografar os arquivos, o GIBON anexará a extensão .encrypted ao nome do arquivo criptografado. Por exemplo, um arquivo chamado test.jpg seria criptografado e nomeado como test.jpg.encrypted. Você pode ver uma pasta de arquivos criptografados abaixo.

Figura 4 – Arquivos Criptografados
Fonte: Bleeping Computer

Durante o processo de criptografia, o GIBON conectará rotineiramente ao servidor C2 e enviará um “PING” para indicar que ainda está criptografando o computador.

Para cada pasta que um arquivo está criptografado, ele também gerará uma nota de resgate chamada  READ_ME_NOW.txt. Esta nota de resgate fornecerá informações sobre o que aconteceu com os arquivos da vítima e instruções para entrar em contato com os emails bomboms123@mail.ru ou subsidiária: yourfood20@mail.ru para obter instruções de pagamento.

Figura 5 – Nota de Resgate Fonte: Bleeping Computer

Quando o ransomware terminou de criptografar um computador, ele enviará uma mensagem final para o servidor C2 com a string “finish”, um timestamp, a versão do Windows e a quantidade de arquivos criptografados.

Neste momento, atualmente não se sabe quanto de ransomware os desenvolvedores estão exigindo. Como afirmado anteriormente, a boa notícia é que este ransomware pode ser descriptografado usando este desencriptador.

Como se proteger do GIBON Ransomware

Para se proteger de GIBON, ou de qualquer ransomware, é importante que você use bons hábitos de computação e software de segurança. Em primeiro lugar, você sempre deve ter um backup confiável e testado de seus dados que podem ser restaurados no caso de uma emergência, como um ataque de ransomware.

Você também deve ter um software de segurança que contenha detecções comportamentais, como  Emsisoft Anti-Malware ,  Malwarebytes ou HitmanPro: Alert. 

Por último, mas não menos importante, certifique-se de praticar os seguintes bons hábitos de segurança online, que em muitos casos são os passos mais importantes de todos:

  • Backup, Backup, Backup!
  • Não abra anexos se não souber quem os enviou.
  • Não abra anexos até confirmar que a pessoa realmente o enviou,
  • Digitalize anexos com ferramentas como o VirusTotal.
  • Verifique se todas as atualizações do Windows estão instaladas assim que elas saem! Certifique-se também de atualizar todos os programas, especialmente Java, Flash e Adobe Reader. Os programas mais antigos contêm vulnerabilidades de segurança que são comumente exploradas por distribuidores de malware. Portanto, é importante mantê-los atualizados.
  • Certifique-se de usar algum tipo de software de segurança instalado.
  • Use senhas rígidas e nunca reutilize a mesma senha em vários sites.

Fonte: BLEEPINGCOMPUTER

Petya.2017 é um wiper e não um ransomware

Ransomware-as-a-service logo será renomeado como Lure-as-a-Service

TL; DR: O ransomware foi uma atração para a mídia, esta variante de Petya é um wiper dissimulado.
Update1: poucas horas depois, a pesquisa da Kaspersky levou a uma conclusão semelhante.
Update2: adicionou mais informações sobre o comando wiper e as capturas de tela comparadas das duas chaves que confirmam visualmente a descoberta da Kaspersky e por que a rotina de cópia MBR não faz sentido.

Qual a diferença entre um wiper e um ransomware?

O objetivo de um wiper é destruir e danificar. O objetivo de um ransomware é ganhar dinheiro. Intenção diferente. Motivo diferente. Diferente narrativa. Um ransomware tem a capacidade de restaurar sua modificação, como (restaurando o MBR como no Petya de 2016, ou arquivos de descodificação se a vítima pagar) – um wiper simplesmente destruiria e excluía as possibilidades de restauração.
Ontem, fornecemos uma análise preliminar onde demonstramos que a versão 27 de junho de 2017 da Petya alavancada no SMB explora ETERNALBLUE e ETERNALROMANCE.
Hoje, passamos mais tempo para entender como os arquivos podem ser recuperados e como o MBR e MFT real estavam sendo codificados.

O setor Sloppy bloqueia modificações

Felizmente, há múltiplas análises existentes excelentes a partir de 2016 Petya que foram publicadas no ano passado em vários idiomas, como francês ou inglês [1, 2]. Hoje, a Microsoft publicou uma análise muito descritiva do Petya de 2017, mas por alguns motivos perdeu a parte abaixo.

Depois de comparar a implementação, percebemos que a implementação atual que infectou massivamente múltiplas entidades na Ucrânia foi, de fato, um wiper que acabou de destruir os 24 primeiros blocos do setor do disco enquanto se replicava. Alguns observaram que este era principalmente um Slack Space, pois apenas o primeiro setor é relevante para a maioria das máquinas – exceto poucas exceções. Observo principalmente que, uma vez que isso pode ser usado em alguns cenários, é por isso que considero isso uma sobreposição desleixada.

O primeiro bloco do setor está sendo codificado de forma reversível por XORed com a chave 0x7 e salvo mais tarde no 34º bloco. Mas, uma vez que o substitui por um novo carregador de inicialização (41f75e5f527a3307b246cadf344d2e07f50508cf75c9c2ef8dc3bae763d18ccf) de 0x22B1 bytes basicamente define v19 para 0x19 (25).

16.0: kd:x86> ? 0x22B1 - (0x22B1 & 0x1FF) + 0x1024
Evaluate expression: 12836 = 00003224
16.0: kd:x86> ? 0x00003224 >> 9
Evaluate expression: 25 = 00000019

Isso significaria que 24 blocos do setor após o primeiro bloco do setor estão sendo substituídos propositadamente, eles não são lidos ou salvos em qualquer lugar. Enquanto a versão original do Petya de 2016 lê corretamente cada bloco de setor e os codifica reversivelmente.

2016 O Petya modifica o disco de uma forma que realmente pode reverter suas mudanças. Considerando que, 2017, Petya faz danos permanentes e irreversíveis ao disco.

À esquerda, podemos ver que a versão atual do Petya claramente foi reescrita para ser um wiper e não um ransomware real.

Esquerda (2017 Petya) com o código do wiper – Direita (2016 Petya) que lê e codifica blocos de setor.

Isso significa que a seção MBR do disco é propositalmente escrita pelo novo gerenciador de inicialização 41f75e5f527a3307b246cadf344d2e07f50508cf75c9c2ef8dc3bae763d18ccf.

Não há mais endereço de e-mail para pagamento

Além disso, o endereço de e-mail de pagamento não é mais acessível se as vítimas passassem a enviar pagamentos.

Função Wiper executada em algumas condições

Após uma análise mais aprofundada, (ver Apêndice A) descobrimos também que os invasores implementaram uma função que limpa os 10 primeiros setores de `\\\\. \\ PhysicalDrive0` incluindo o MBR em duas condições:

  • Se o comando hash calculado a partir de um nome de processo em execução (“avp.exe”) retorna 0x2E214B44;
  • Se a função que substitui o MBR real retorna um erro. Provavelmente como uma maneira genérica de detectar EDR tentando impedir modificações no bootloader.

A geração do comando hash e a gestão da flag para os diferentes modos podem ser encontradas em nossa versão descompilada aqui.
UPDATE: Após uma pesquisa adicional, determinamos que o comando de hash misterioso é gerado a partir de minúsculas “avp.exe” nome do processo que correspondem ao Kaspersky Anti-Virus.

Incompatibilidade chave

Como o Kaspersky informou, a chave gerada na tela é falsa e gerada aleatoriamente. Depois de ver mais como a chave do arquivo de criptografia foi gerada, também percebemos uma inconsistência que reforça essa afirmação. Isso também pode ser comprovado comparando a “chave de instalação” exibida no README.txt e na tela – como você pode ver, o formato é claramente diferente.
À esquerda é a exibição pelo código MBR que descrevemos acima como descuido, à direita o conteúdo do README.txt com uma chave real gerada pelo ransomware.

Isso significa que, supondo que um decriptador venha a ser liberado, a entrada requerida teria que passar pelo README.txt – não da tela.

Processo de criptografia de buggy

BOOL WINAPI CryptEncrypt(
_In_ HCRYPTKEY hKey,
_In_ HCRYPTHASH hHash,
_In_ BOOL Final,
_In_ DWORD dwFlags,
_Inout_ BYTE *pbData,
_Inout_ DWORD *pdwDataLen,
_In_ DWORD dwBufLen
);

Conforme descrito por Ladislav Zezula, a flag booleana final na função CryptEncrypt é inicializada incorretamente durante a criptografia.

Chave Salsa20 define como “inválido”

A tecla Salsa20 parece ter sido modificada com um editor hexadecimal e não recompilada. O novo valor também é configurado para o valor crítico “-1n3 id-id”, que pode ser lido como “identificador secreto inválido”.

Conclusão

Acreditamos que o ransomware foi de fato uma atração para controlar a narrativa da mídia, especialmente após os incidentes do WannaCry atrair a atenção para algum grupo misterioso de hackers em vez de um atacante estatal nacional como já vimos no passado em casos que envolvem wipers como Shamoon .
O atacante tomou um ransomware existente que ele reembalou.
Ultimamente, o número de ataques contra a Ucrânia aumentou de Power Grids sendo fechado para o carro, um oficial de inteligência militar superior explodindo ontem – o dia em que Petya.2017 infectou a Ucrânia.
O fato de fingir ser um ransomware enquanto sendo de fato um ataque de Estado-nação – especialmente porque a WannaCry provou que o ransomware amplamente difundido não é financeiramente lucrativo – é, em nossa opinião, uma maneira muito sutil do atacante para controlar a narrativa do ataque.
Nota adicional, venha participar da Kaspersky & Comae amanhã quinta-feira 29 @ 10AM EST para um webinar técnico sobre o Petya – sem argumento de vendas. Nós prometemos! Apenas material técnico.

Apêndice A – Chamador

https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b?gi=6bfe48771c13

Alerta nº 04/2017 – Ataques de Ransomware Petrwrap/Petya

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, alertas sobre ataques de Ransomware Petwrap/Petya, tendo como alvo o Leste da Europa, Rússia, Ucrânia, França, Espanha e Holanda. Esta variação de Ransomware é conhecida por Petrwrap/Petya.
O atacante explora as mesmas vulnerabilidades do Ransonware Wanacry, vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Petwrap/Petya atua de forma um pouco diferente, em vez de criptografar arquivos individualmente, nega o acesso ao sistema atacando estruturas de baixo nível no disco, criando seu próprio Kernel com 32 setores.
O Ransomware atua no Master Boot Record (MBR) carregando o Kernel malicioso e criptografando o Master File Table (MFT) tornando o sistema inacessível.
Análise do arquivo petwrap.exe:  (https://www.hybridanalysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?envir
onmentId=100).

Recomendações

Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Referências:

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-RansomwareInfections-Reported.
http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1
http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html
http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.us-cert.gov/ncas/alerts/TA17-132A#revisions
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Fonte

Falhas no Windows e Linux podem abrir brecha para novo mega-ataque de ransomware

Vulnerabilidades no serviço de desktop remoto do Windows e em máquinas Linux com o serviço Samba podem gerar nova onda de malware, alerta Cipher

Mais de um mês após ao ataque do ransomware WannaCry, que atingiu mais de 70 países, uma nova onda de malware que se autopropaga pode estar por vir devido a duas novas vulnerabilidades: uma no serviço de desktop remoto (RDP) do Windows e outra por causa de falha que atinge máquinas Linux com o serviço Samba. O alerta é do Laboratório de Inteligência da Cipher, empresa global de segurança cibernética.

A vulnerabilidade afeta máquinas Windows XP e Windows 2003 Server, sistemas cujo suporte foi descontinuado pela Microsoft. O exploit, chamado EsteemAudit, também foi publicado pelo grupo hacker autodenominado Shadow Brokers, responsável pela divulgação da falha EternalBlue que deu origem ao WannaCry. Cerca de 7% dos computadores pessoais ainda utilizam a versão XP do Windows e estimativas dão conta que 600 mil servidores web ainda estão rodando a versão Server 2003. A Microsoft divulgou atualização para essa falha.

Já o Samba é um serviço do Linux utilizado para compartilhamento de arquivos e compatibilidade com sistemas operacionais Windows, permitindo a troca de arquivos e sessões de comunicação entre os dois sistemas operacionais. A falha também permite a execução de código remoto em dispositivos Linux e a criação de um “wormable malware”, ou seja, um software malicioso que pode infectar outros dispositivos conectados em rede automaticamente.

De acordo com o especialista em cibersegurança da Cipher, Fernando Amatte, é necessário ter cuidado ao conectar um dispositivo à internet. “Valide as regras dos dispositivos que estão expostos e, caso seja necessário o uso do RPD, ele deve ser feito via uma conexão VPN”, alerta.

O grande risco nesse caso está em equipamentos do tipo NAS (Network Attached Storage), que são discos rígidos externos com capacidade de conexão em rede utilizados para armazenar fotos, vídeos e arquivos pessoais. Esses dispositivos utilizam, via de regra, Linux e não possuem processo de atualização automatizada.

“Por enquanto notamos, entre os nossos clientes, que os casos relacionados a possíveis problemas são isolados, mas se não formos cautelosos, uma nova gama de ataques pode acontecer. A recomendação é alertar aos gestores para tomarem cuidado e procurar atualizações nos sites dos fornecedores, além de buscar um especialista em segurança da informação para saber o nível de risco de exposição em que a empresa se encontra”, finaliza Amatte.

Fonte

Os atacantes utilizam a falha SambaCry para executar o minerador Cryptocurrency

Os fraudadores exploraram uma vulnerabilidade corrigida para empurrar uma mineradora de criptografia para máquinas Linux e gerar dinheiro eletrônico. Os ataques, detalhados pelos pesquisadores das empresas de segurança Kaspersky Lab e Cyphort, aproveitam a vulnerabilidade nas instalações da ferramenta de interoperabilidade Samba. Esta notícia vem poucos dias depois que a equipe do Samba anunciou que havia corrigido versões anteriores do software.

A vulnerabilidade também vem na sequência do recente sistema de resgate WannaCry. A SecurityWeek explicou que, como sua contraparte, o minerador de criptografia – que alguns pesquisadores chamaram de SambaCry – apresenta um risco significativo para usuários e empresas.

Explorando o Samba

O Samba, que é executado em servidores Linux e UNIX, é uma ferramenta que configura serviços de arquivamento e impressão através do protocolo de rede SMB, integrando esses serviços em um ambiente Windows. Os atacantes que procuram executar o minerador de criptografia usam uma falha no Samba para instalar um plugin malicioso que permite privilégios de superusuário.

A Kaspersky advertiu os usuários que a vulnerabilidade do Samba é como o bug que os cibercriminosos exploraram durante o recente surto de WannaCry ransomware. O primeiro arquivo entregue é um backdoor que fornece um shell reverso, permitindo que os atacantes executem comandos remotamente.

Os atores da ameaça então instalam um minerador de criptografia para coletar dinheiro na forma de Monero, que é uma alternativa ao bitcoin. Os lucros são enviados para uma carteira com um endereço codificado.

Mais do que apenas um minerador Cryptocurrency

Kaspersky disse que os atacantes receberam seus primeiros criptocoins em 30 de abril, quando ganharam cerca de 1 XMR (cerca de US $ 55). Após um mês de mineração, os atacantes ganharam 98 XMR, o que significa que eles ganharam cerca de US $ 5.500.

Embora os números sejam relativamente pequenos, o aumento no lucro sugeriu que o botnet de mineração de dispositivos em nome dos atacantes está crescendo a uma taxa significativa. Mais problemático, os pesquisadores da Kaspersky disseram que ainda não possuem informações sobre a escala do ataque.

Os tomadores de decisão de TI devem notar que as máquinas afetadas podem atuar como mais do que um minério de criptografia. Os cibercriminosos podem aproveitar o invólucro inverso deixado no sistema para alterar a configuração do minerador existente, ou podem infectar o computador da vítima com outro malware.

Como responder

A empresa de segurança Rapid7 observou que muitos sistemas de armazenamento domésticos e corporativos executam o Samba. A ferramenta geralmente é instalada por padrão em sistemas Linux, o que significa que as empresas podem estar executando o Samba sem mesmo saber disso. Sua análise recente descobriu mais de 104.000 pontos finais expostos à Internet que parecem estar executando versões vulneráveis ​​do Samba.

A Kaspersky explicou que a notícia da vulnerabilidade é outra lembrança sobre a importância de políticas de segurança fortes. Os pesquisadores pediram aos administradores de sistemas e usuários comuns de Linux que atualizem seu software Samba para a última versão corrigida, que foi lançada no final de maio.

Os tomadores de decisão de TI também devem notar que o SambaCry não é o único malware que está sendo usado para executar um minério de criptografia. Especialistas descobriram recentemente uma nova variante do malware Mirai que possui um componente de mineração de bitcoína embutido. Todas as partes interessadas, incluindo empresas e fornecedores de TI, devem trabalhar juntas para garantir que os dispositivos sejam corrigidos e protegidos na idade conectada.

Fonte

A Tecnologia sozinha não faz milagres em Segurança da Informação

Segundo Leonardo Moreira, diretor da Proof, não há dúvidas que as ferramentas de BA (Business Analytics) realizam um ótimo trabalho na área de SI (Segurança da Informação) possibilitando análises descritivas, preditivas e o apoio em tempo real na tomada de decisões.

Moreira ressalta ainda, a respeito de insights valiosos obtidos na gestão de Segurança da Informação por meio de elementos conceituais, porém importantes, como Big Data, análise comportamental e aprendizado de máquina.

Todavia, a tecnologia sozinha não faz milagres, ainda não existe uma solução que apresente resultados fascinantes para obter sucesso de forma mágica. Ferramentas de BA não podem substituir os sistemas tradicionais de segurança, muito menos pessoas que realizam esse trabalho.

Joseph Demarest, vice-diretor da ciberdivisão do FBI, afirma: “Você vai ser hackeado. Tenha um plano.” Como sabemos bem, não existe sistema completamente seguro, não é possível proteger completamente um dispositivo conectado à internet. Podemos tomar como exemplo o ciberataque massivo causado por um Ransomware intitulado como “WannaCry”, infectando máquinas, se propagando pelo mundo e sequestrando dados, confira aqui. A Microsoft já havia lançado um patch para correção da vulnerabilidade que foi explorada nessa ação, porem obviamente não foram aplicadas.

Atualmente torna-se necessário que os profissionais de SI sejam inteirados com uma boa dose de analise critica, sem serem pessimistas e nem otimistas, mas que trabalhem de forma proativa em defesa dos ativos corporativos, avaliando o ambiente organizacional, determinando os dados importantes, aplicando a PSI (Política de Segurança da Informação) e as medidas que visam proteger a informação da organização, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, investindo em novas tecnologias disponíveis e testadas, investindo no fator humano e conscientizando toda a equipe, para minimizar o nível de exposição da organização.

Ainda segundo Moreira existem ferramentas de BA eficientes para análise e apoio a SI, porém não são suficientes, antes de iniciar um projeto é fundamental que as ferramentas sejam apuradas para escolher a ferramenta certa, Moreira também ressaltou a respeito de alguns serviços repetitivos como monitoramento e interpretação de alertas, que são desgastantes, e exigem pessoal dedicado e processos consistentes.

A área de SI possui diversas vertentes, não limitada à TI (Tecnologia da Informação), que reporta diretamente a diretoria da organização. No Brasil a SI está em alta, mas não são todas as empresas que investem em SI, devido ao alto custo das tecnologias, e também para manter profissionais preparados e processos bem definidos; existem casos que o gerente de TI é responsável pela segurança da rede, aplicações e dados da organização, em outros casos a SI é terceirizada.

O fator humano sempre foi o elemento mais importante e essencial, sabemos que não existe empresa sem pessoas e nenhuma tecnologia é totalmente autônoma. O ambiente de TI pode se ver livre de algumas tarefas devido ao aprendizado de máquina, mas sempre haverá a necessidade de configuração, analise e identificação de melhorias nesses sistemas. Saiba mais aqui.

Para que os profissionais de uma organização foquem em projetos mais complexos, uma opção usada por muitas empresas é a terceirização.

Não adianta apenas investir em tecnologia e não treinar seus funcionários, a SI é tão importante quanto qualquer outra área de uma organização, e sim, essa área necessita de investimento, em infraestrutura, em tecnologias, em princípios e diretrizes da PSI levantados pela organização, na conscientização e treinamento dos funcionários. Para tanto, existe uma ferramenta de gestão que tem como objetivo a melhoria continua dos processos, o ciclo PDCA (Plan-Do-Check-Act), que é aplicado para estruturar todos os processos do SGSI, é necessário enfatizar a importância de: entender os requisitos de SI de uma organização e da necessidade de estabelecer uma politica e objetivos; implementar e operar controles que gerenciem os riscos de SI de uma organização; monitorar e analisar criteriosamente o desempenho e a eficacia do SGSI; e melhorar continuamente baseando-se em medidas objetivas; dessa forma, é necessário planejar, fazer, checar e agir.

Alerta n° 02/2017 – Ataques de Ransomware Wanna Decryptor

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, Alertas sobre ataques de Ransomware tendo como alvo os domínios do governo brasileiro. Esta variação de Ransomware é conhecida por Wanna Decryptor, WannaCry, WCry, WanaCrypt ou WanaCrypt0r. O atacante explora vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão. Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

O Ransomware Wanna Decryptor explora a mais severa das vulnerabilidades informada através do Bolentim MS17-010 da Microsoft, permitindo ao atacante a execução remota de código através de envio de mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1), ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP). O Atacante envia um loader contendo uma dll criptografada em algorítimo AES e chave de 128bits, sendo indetectável até então, aos anti-virus. Durante a execução um arquivo copiado no disco pelo malware se encarrega de descriptografar a dll enviada, que por sua vez, começa a criptografar os arquivos alvos. O Ransomware Wanna Decryptor também tenta utilizar informações sobre compartilhamentos ativos disponíveis na IPC$ (Inter Process Communication), para poder se propagar na rede através do protocolo SMBv1 (Server Message Block 1.0), infectando todos os sistemas vulneráveis. Os arquivos infectados passam a ter as seguintes extensões: .wnry, .wcry, .wncry e .wncrypt. Sendo necessária uma chave de 128bits-AES para restaurar os arquivos alvos. Análise do arquivo wannacry.exe (https://www.hybridanalysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?enviro nmentId=100)

Recomendações

  • Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • Alguns usuários identificaram arquivos @Please_Read_Me@.txt ou com a extensão .WNCY;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Fonte

Alerta nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing

Descrição do Problema

Temos recebido dos órgãos de Inteligência e de nossos colaboradores, Alertas sobre ataques de “Ransomware” tendo como alvo os domínios da Administração Pública Federal, em particular, os órgãos relacionados, direta ou indiretamente, com a organização dos Jogos Olímpicos e Paralímpicos Rio2016.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Os atacantes possivelmente utilizarão contas de correio comprometidas (contas funcionais) de órgãos de Governo para propagar códigos maliciosos (malwares), conhecidos como “droppers” que farão o download do Ramsoware (código encriptador).
Os códigos maliciosos são, geralmente, enviados em arquivos com “java scritps” compactados (zip, rar, etc) atachados via E-mail. A infeção também pode ocorrer através de documentos do MS-Office que contenham macros com códicos obfuscados com Visual Basic Script (VBS) e em arquivos “batch”, os quais resultam no download e execução do executável do Ransomware.
Outra possiblidade é a utilização de sítios comprometidos (ataques de drive-by) para infecção de navegadores vulneráveis a injeção de Java-scripts.

Ameaças

  • Recentemente, recebemos a informação sobre um ataque de Ransomware, onde foi encontrado traços de código do “Hidden Tear”, um ransomware “educacional” publicado no GitHub, o qual está sendo amplamente usado em ataques desse tipo.
  • Aparentemente, o grupo “Anonymous” baixou o código fonte do “Hidden Tear”, mudou o código
    e recompilou.
  • O FBI emitiu, em 11 de Julho de 2016, alerta sobre uma variante de Ransomware chamada de
    “Locky”, que tem sido extensivamente utilizado em campanhas de “spam” e “Phishing Message” para distribuir código capaz de encriptar numerosos tipos de arquivos, locais ou em compartilhamentos de Rede.
  • O locky se comunica com Servidores de Comando e Controle (C2) para informar aos operadores
    o sucesso na infecção e obter a chave de encriptação e o código identificador da vítima. O locky
    também contém um algorítmo, que gera domínios para a comunicação com a sua Infraestrutura de
    Comando e Controle.
  • As redes infectadas, normalmente, fazem requisições com métodos “HTTP” POST de arquivos
    tipo: main.php, submit.php e mais recentemente userinfo.php, dentre outros.
  • Uma vez executado, o Locky estabelece, via Registro, um processo persistente na tentativa de
    deletar “shadow copies” usando o Comando “vssadmin” e encriptar arquivos dos usuários, tais como:
    documentos, arquivos de mídias, códigos-fonte, dentre outros.
  • O FBI afirma que a recuperação é quase impossível, sem a chave de encriptação, devido ao tipo
    de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados.
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.
  • Segue em anexo uma lista de domínios de Comando e Controle utilizados pelo Locky.

Sugestões para Mitigação Problema

  • Ajustar os filtros de e-mail para bloquear, ou alertar arquivos anexados com extensão zip, rar, etc;
  • Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de email suspeitos ou não reconhecidos como de origem esperada;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos;
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos. (vide relação
    anexa);
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento
    lateral de propagação do malware; e 
  • Manter navegadores atualizados e verificar necessidade de habilitar a execução de Java-Script;
  • Por fim, manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”)
    de e-mail atualizados.

Referências:

https://www.us-cert.gov/ncas/alerts/TA16-091A
https://info.publicintelligence.net/FBI-LockyRansomware.pdf
https://www.cyphort.com/drive-by-ransomware-infection-in-the-wild/

Fonte