sequestro - Future Technologies

4 fevereiro 2019

adm.future

0

Categories: Blog, Disponibilidade, Notícias, Segurança

Estudo da Sophos revela que tendência para ransomware direcionado continua

A Sophos, líder global de segurança na rede e para endpoint, lançou um novo relatório sobre um grupo de ransomware conhecido como Matrix. Este malware tem estado em operação desde 2016 e a Sophos detetou 96 amostras. Tal como aconteceu com outros tipos anteriores de ransomware direcionado, incluindo o BitPaymer, o Dharma e o SamSam, os atacantes que utilizam o Matrix têm estado a infiltrar-se nas redes e a infectar computadores através do Remote Desktop Protocol (RDP), uma ferramenta de acesso remoto integrada nos computadores com sistema operativo Windows. No entanto, ao contrário de outros ransomware, o Matrix infeta apenas um único equipamento na rede, em vez de se propagar amplamente por toda a organização.

No seu último artigo, a SophosLabs submeteu o código e as técnicas, em constante evolução, assim como os métodos e as mensagens de extorsão de dinheiro às vítimas, a um processo de engenharia reversa. Os criminosos que criaram o Matrix fizeram evoluir os parâmetros dos ataques ao longo do tempo, adicionando um novo código e ficheiros que mobilizam diferentes tarefas e cargas na rede.

As notas de resgate do Matrix encontram-se introduzidas no código de ataque, mas as vítimas não sabem quanto terão de pagar até entrarem em contacto com os atacantes. Durante grande parte da existência do Matrix, os agressores utilizaram um serviço de mensagens instantâneas anônimas criptograficamente protegido, denominado bitmsg.me. Com a descontinuação deste serviço, os criminosos regressaram à utilização de contas de e-mail normais.

Os atacantes que utilizam o Matrix exigem o pagamento de um resgate em criptomoeda, em equivalentes a dólares americanos. Este fato é invulgar uma vez que, normalmente, cada criptomoeda vem com um valor específico na sua própria denominação, e não em equivalentes a dólares. Não é claro se esta exigência quanto ao resgate se trata de uma manobra deliberada de diversão, ou se resulta apenas de uma tentativa de navegar num cenário de taxas de câmbio de criptomoeda em forte flutuação. Com base nas interações que o SophoLabs teve com os atacantes, os resgates exigidos eram de 2500$ USD, apesar de este valor ter sido reduzido quando os investigadores deixaram de responder às exigências.

O Matrix é um pouco como o “canivete suíço” do mundo do ransomware, pois apresenta novas variantes capazes de pesquisar e identificar potenciais vítimas depois de infetada a rede. Apesar do volume da amostra ser reduzido, isto não torna esta ameaça menos perigosa, pelo contrário, o Matrix encontra-se em evolução e estão a surgir novas versões à medida que os criminosos aprendem com cada novo ataque.

No relatório de ameaças da Sophos de 2019, Sophos’ 2019 Threat Report, destacamos que o ransomware dirigido será um dos fatores a influenciar o comportamento dos hackers, e as organizações devem permanecer atentas e trabalhar ativamente para assegurar que não são um alvo fácil de atingir.

A Sophos recomenda a implementação imediata de quatro medidas de segurança:

Restrição do acesso a aplicações de controlo remoto tais como o Remote Desktop (RDP) e o VNC
Verificação completa e regular da vulnerabilidade e testes de segurança em toda a rede. Se não realizou os testes de intrusão, está na altura de os fazer. Se continuar a ignorar os conselhos dos seus detetores de intrusão, os cibercriminosos serão bem sucedidos.
Autenticação multifatores para sistemas internos sensíveis, mesmo para os colaboradores na LAN ou através de VPN.
Criação de sistemas de back-up offline e offsite, bem como desenvolvimento de um plano de recuperação em caso de desastre, que abrange a restauração dos dados e dos sistemas para para todas as organizações, de uma vez só.

Para mais informações e análise podem ser obtidas no relatório Matrix: “A Low-Key Targeted Ransomware” realizado pela Sophos. Clique aqui para acessar o relatório!

Quer se proteger contra ransomware? A Future é parceira Sophos! Preencha o formulário abaixo e entre em contato conosco.

Fonte: WinTech Portugal.

Onda global de sequestros de DNS ronda empresas

As equipes de Resposta a Incidentes e Inteligência da FireEye, empresa de segurança liderada por inteligência, identificaram uma onda de sequestros de Domain Name System (DNS), espécie de malware que substitui a configuração TCP/IP de um computador para um servidor DNS malicioso.

Os redirecionamentos de DNS afetaram dezenas de domínios pertencentes a entidades governamentais, de telecomunicações, provedores de infraestrutura de Internet e instituições comerciais localizadas no Oriente Médio, na África, Europa e América do Norte. A campanha tem como alvo vítimas em todo o mundo, em uma escala praticamente sem precedentes, com alto grau de sucesso.

Pesquisas iniciais sugerem campanha iraniana

Embora a atividade não tenha sido vinculada ainda a nenhum grupo monitorado e a análise de atribuição para a atividade esteja em curso, as evidências técnicas iniciais sugerem que o ator ou os atores responsáveis tenham uma ligação com o Irã.

As informações confidenciais capturadas das entidades visadas seriam de interesse do governo iraniano, com baixo valor financeiro. A campanha emprega algumas táticas tradicionais, mas diferencia-se de outras atividades típicas aplicadas pelos iranianos, pois alavanca o sequestro de DNS em escala.

O(s) ciberatacante(s) utiliza(m) diferentes técnicas para obter uma posição inicialmente e dar sequência à exploração, dependendo do alvo visado. As manipulações de registros de DNS são sofisticadas e podem não ser exclusivas de um único agente de ameaça, uma vez que a atividade abrange prazos, infraestrutura e provedores de serviços distintos. Mesmo que um invasor não consiga obter acesso direto à rede de uma organização, ele ainda pode roubar informações valiosas.

Como se prevenir?

É necessário que algumas táticas sejam implementadas para que uma organização esteja fortalecida:

Adicionar autenticação multifator no portal de administração do seu domínio
Validar as alterações dos registros A e NS
Procurar por certificados SSL relacionados ao domínio e revogar todos os certificados maliciosos
Validar os IPs de origem nos logs do OWA / Exchange
Realizar uma investigação interna para avaliar se os invasores obtiveram acesso ao ambiente

Quer fortalecer sua organização e se prevenir? A Future é parceira FireEye! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Bad Rabbit tem “falha” no sequestro de arquivos e explora brecha

Analistas de segurança estão finalizando seus estudos do código da praga digital “Bad Rabbit”, que atacou computadores principalmente na Rússia e na Ucrânia. Especialistas descobriram que a praga explora uma brecha do Windows para se espalhar dentro das redes das empresas e que a praga possui deficiências no código que sequestra os arquivos.

O Bad Rabbit causou problemas para instituições e empresas na Rússia depois que os hackers invadiram sites para injetar janelas falsas de atualização do Adobe Flash Player. Quem caiu no golpe e executou o programa acabou infectando o seu computador – e possivelmente a rede inteira da empresa – com o vírus de resgate.

O vírus, porém, não se espalhou fora dos países alvos e foram registrados apenas casos isolados fora da Ucrânia e, principalmente, da Rússia, que foi o país mais afetado.

Praga tem ligação com o NotPetya e usa brecha EternalRomance

Há indícios de que o vírus foi obra dos mesmos responsáveis pelo ataque do NotPetya, também chamado de ExPetr, que atacou principalmente empresas na Ucrânia em junho. Além do comportamento do vírus, há uma forte semelhança em uma formulação de “hashing” (cálculo que produz um número de tamanho específico a partir de uma informação qualquer).

A ligação entre os dois vírus foi afastada inicialmente, já que o Bad Rabbit não usa o “EternalBlue”, um código atribuído à Agência de Segurança Nacional dos Estados Unidos (NSA) e que foi vazado na web por um grupo anônimo conhecido como Shadow Brokers. Mas especialistas da Cisco descobriram que o vírus é capaz de usar outra técnica vazada pelos Shadow Brokers, a EternalRomance. A falha já foi corrigida pela Microsoft, mas empresas que não atualizaram os seus sistemas permanecem vulneráveis.

O uso da falha EternalRomance contradiz tanto os primeiros relatos sobre o Bad Rabbit — que apontavam o uso da falha EternalBlue — como as análises posteriores, que afirmavam que o vírus não fazia uso de nenhuma brecha.

Recuperação de arquivos sequestrados é possível

Duas deficiências foram identificadas no processo do Bad Rabbit que sequestra os arquivos do computador. Diferente do NotPetya, cuja rotina de criptografia impossibilitava a recuperação dos arquivos e levou o vírus a ser classificado como “wiper” e não um vírus de resgate, as deficiências presentes no Bad Rabbit podem ajudar as vítimas a recuperar os arquivos.

O Bad Rabbit negligencia as chamadas “cópias de sombra” do Windows, onde alguns arquivos ficam armazenados temporariamente. Essa deficiência era comum em vírus de resgates mais antigos, mas quase todos os vírus de resgate mais recentes apagam as cópias de sombra para fechar esse caminho de recuperação.

Com um programa como o Shadow Explorer, há uma chance de que as vítimas consigam recuperar os arquivos sequestrados.

Outro descuido do vírus está em seu gerenciamento de memória. Os especialistas descobriram que a senha que desbloqueia a inicialização do computador fica na memória enquanto o computador não for reiniciado. Isso significa que um computador contaminado pelo Bad Rabbit e que ainda não foi reiniciado pode ser mais facilmente recuperado, especialmente se as duas deficiências forem combinadas. Para quem já reiniciou o computador, porém, essa descoberta não terá utilidade.

Fonte: G1