Europa sob novo ataque Ransomware

Enquanto o WannaCry não morreu, variantes do ransomware começaram a infectar computadores na Europa e na Europa Oriental. Dispositivos de bancos, companhias e fornecedoras de energia da Rússia, Ucrânia, Índia, França, Espanha e Reino Unido foram desligados após a invasão do malware sequestrador que cobra US$ 300 em bitcoins pela liberação de arquivos.

Dois novos ransomwares baseados no WannaCry começaram a sequestrar computadores nesta terça-feira

Se você quiser refrescar a memória, em maio deste ano, o ransomware WannaCrypt (WannaCry) afetou mais de 300 mil computadores em mais de 150 países no mundo. O Brasil foi um dos países afetados, com companhias e instituições governamentais desligando computadores e servidores durante alguns dias — você pode clicar aqui para saber mais.

Caso você não saiba, o ransomware é um tipo de malware que, quando entra em um sistema, restringe o acesso e cobra um valor “resgate” para que o usuário possa voltar a acessá-lo. Por exemplo, ao clicar ou baixar um arquivo malicioso, o computador de uma companhia é completamente compactado via criptografia. As companhias praticamente não têm como pegar novamente esses arquivos, a não ser que pague o valor estabelecido pelo invasor — normalmente em bitcoin. Um modus operandi sofisticado, refinado, que não deixa traços, marcas ou trilhas de quem fez isso.

Ransomware Petya e Cryptolocker

As novas variantes do WannaCry que começaram a atacar vários países pela Europa se chamam Petya e Cryptolocker. Os alvos são os mesmos do WannaCrypt: bancos, companhias grandes e pequenas, instituições governamentais e estabelecimentos de fornecimento de energia para cidades.

De acordo com fontes, especificamente o Petya, ele se utiliza da mesma vulnerabilidade Windows SMBv1, que já havia sido explorada em maio. O Petya age reinicializando o PC de vítimas e encriptando o disco rígido de dispositivos (MFT), além de deixar o master boot record (MBR) inoperante. Segundo um relato do VirusTotal, apenas 13 de 61 softwares de antivírus acusam a infecção pelo Petya.

A Ucrânia acredita que a Rússia está por trás do ataque

Até o momento, os nomes de instituições afetadas pelo Petya e Cryptolocker são: Rosneft (gigante petroleira da Rússia), Kyivenergo e Ukrenergo (fornecedoras de energia ucranianas), Banco Nacional da Ucrânia, a agência de publicidade WPP (Reino Unido), AP Moller-Maersk (companhia dinamarquesa de logística), Saint Gobain (França), Mondelez (Espanha) e várias empresas privadas nos outros países já citados.

O conselheiro ucraniano Anton Gerashchenko comentou que “o objetivo final do ataque cibernético é tentar desestabilizar” o país. Além disso, que esse ataque parece ter saído da Rússia, com quem a Ucrânia possui problemas políticos.

Na luta contra o ransomware

A recomendação do TecMundo é: não pague ransomware. O mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, um bom antivírus são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado. Existem ferramentas e especialistas em segurança para lhe ajudar.

Agradecemos ao Igor, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Falha no Chrome e Firefox permite ataque phishing

Os ataques de phishing não são nenhuma novidade. Sites e serviços falsos que se passam por outros para enganar usuários desavisados existem aos montes, mas você mal se preocupa com isso porque o seu navegador muito provavelmente faz o trabalho de filtrar e avisar caso você esteja prestes a entrar em uma página suspeita. No entanto, como agir quando a ameaça consegue driblar até mesmo esses sistemas de segurança? Pois é exatamente isso o que uma nova ameaça vem fazendo.

De acordo com uma empresa chinesa de pesquisa em segurança digital, há um novo ataque de phishing circulando pela internet que é praticamente impossível de ser detectado até mesmo por quem já está habituado a conferir a autenticidade dos sites que acessa. Segundo o alerta emitido pela companhia, há uma vulnerabilidade presente nos principais navegadores do mercado — Chrome, Firefox e Opera — que pode ser utilizada por hackers para enganar os usuários.

Assim, eles conseguem exibir falsos domínios como se fossem sites legítimos. Com isso, eles podem se passar por sites que você acessa todo dia, como Google, Facebook ou mesmo a loja da Amazon para roubar desde informações de acesso, como seu nome de usuário e senha, até dados pessoais e informações financeiras. Sem que você perceba, o número de seus documentos ou de seu cartão de crédito pode ser roubado quando você acreditava estar navegando em um ambiente seguro.

O que realmente chama a atenção nessa falha é que ela dribla até mesmo os mecanismos que geralmente utilizamos para identificar um phishing tradicional. Exemplo disso é que a empresa de segurança disponibilizou uma página de demonstração com o endereço real da Apple, mas cujo conteúdo não corresponde ao site da companhia. Isso porque essas informações estão sendo enviadas de outro servidor. A ideia é servir como um teste: se você acessar o link e visualizar um aviso ao invés do ver os produtos da Maçã, pode ter certeza de que seu navegador é vulnerável a esse novo golpe.

E o modo com que esses truques são feitos é bastante engenhoso. Eles se utilizam de caracteres Unicode, ou seja, letras de outros alfabetos que acabam sendo representados da mesma maneira que a gente costuma usar na maior parte do mundo. Isso porque os navegadores fazem uma conversão para tratar tudo da mesma forma na exibição, embora continue considerando os caracteres diferentes. Em outras palavras, ele vai mostrar o A cirílico e o A românico da mesma forma — “a” —, mas vai considerá-los diferentes na hora de gerar o endereço. E isso confunde diretamente o usuário, que acha que se trata tudo da mesma coisa.

Assim, o que os hackers fazem é inserir caracteres de vários idiomas para confundir o sistema e criar uma brecha. Como tudo isso vai ser convertido em um código universal, eles driblam a lógica dos navegadores para fazer com que essa salada linguística exiba o endereço que eles querem. É assim que eles conseguem registrar domínios que, para você, vai aparecer como se fosse apple.com, google.com ou qualquer outra página aparentemente de confiança.

Como dito, até o momento os pesquisadores identificaram o problema somente no Chrome, Firefox e Opera — também conhecidos como os programas mais utilizados para navegação. Enquanto isso, Internet Explorer, Microsoft Edge, Safari, Brave e Vivaldi seguem invulneráveis a esse truque.

Como se prevenir

Infelizmente, não tem muito o que os usuários possam fazer para contornar a situação, já que depende muito mais de uma solução apresentada pelas empresas do que ações que você possa fazer em casa. O Google, por exemplo, já está trabalhando em atualizações que corrigem o problema e a previsão é que o update seja liberado para o grande público nos próximos dias. Já a Mozilla segue em discussão sobre o que fazer.

No caso dos usuários do Firefox, há uma saída paliativa para amenizar o problema. Para isso, basta digitar about:config na barra de endereços e confirmar. Em seguida, pesquise por Punycode na área de busca. Isso vai fazer com que somente um parâmetro seja exibido — network.IDN_show_punycode. Clique com o botão direito do mouse sobre ele e selecione a opção Inverter Valor, fazendo com que ele faça a substituição automática e desative a conversão automático desses códigos.

Fonte: Canaltech

Ataque remoto: nova modalidade de roubo de bancos

Imagina se você é funcionário de um banco e vai fazer a reposição na máquina de autoatendimento. Quando vai realizar o trabalho, a encontra vazia, sem nenhuma cédula ou registros de transações bancárias. Não há também vestígios de interação física com a máquina nem malware — não aparentemente.

Em fevereiro deste ano, a Kaspersky, empresa de segurança digital, publicou em seu blog resultados de uma investigação sobre ataques misteriosos contra bancos, os quais incluíam casos no Brasil, usando um malware que não deixa vestígios. O caso foi chamado de “ATMitch”.

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque: não foi possível localizar os executáveis maliciosos porque, após o roubo, os cibercriminosos tinham removido o malware.

Analisando os arquivos de log – que funcionam como um histórico de operações da máquina – os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas e estabeleceram conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Depois de um dia de espera, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. Foi vista duas vezes: uma no Cazaquistão, e outra na Rússia.

Esse malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando.

Depois de retirar dinheiro, os criminosos o pegam e vão embora. Uma vez que um banco é roubado, o malware exclui seus traços.

Responsáveis pelo ataque

Ainda não se sabe quem está por trás dos ataques, já que o uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos torna quase impossível determinar o grupo responsável.

Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber nesse perfil são GCMAN e Carbanak.
Para saber mais informações sobre a investigação, bem como os detalhes da análise, você pode acessar o site da Secure List [em inglês].

Fonte: Tecmundo

Novo malware ataca bancos, governos e empresas de telecomunicação

fileless_malware_statsA Kaspersky alertou nesta semana para um novo malware praticamente indetectável que já infectou mais de 140 empresas e organizações em todo o mundo.

De acordo com o post em seu blog, o malware infectou bancos, agências governamentais e empresas de telecomunicações para roubar informações confidenciais. O Brasil também está entre os países onde a infecção foi notada.

O novo malware, que foi batizado como MEM:Trojan.win32.cometer e MEM:Trojan.win32.metasploit pela Kaspersky, é um verdadeiro pesadelo para administradores e gerentes de TI. O que o torna tão problemático é que ele utiliza softwares legítimos, e geralmente com código aberto, para infectar um sistema com Windows.

Quando a infecção é bem-sucedida, o malware remove todos os traços de sua presença no computador e passa a residir na memória. Com isso os softwares antivírus que verificam o disco rígido do sistema infectado não conseguem detectá-lo.

Outro detalhe é que o novo malware também pode se esconder em outras aplicações, ficando invisível para os softwares antivírus.

Em seu blog, a Kaspersky oferece detalhes mais técnicos sobre como o malware opera. O processo de infecção começa com um instalador temporário no disco rígido.

Este instalador temporário injeta o malware na memória do computador usando um arquivo MSI comum, que depois é removido automaticamente.

Já dentro da memória, o malware utiliza scripts do PowerShell para obter privilégios administrativos no computador infectado e começar a roubar as informações.

A partir do momento em que ele começa a coletar as informações, o malware utiliza a porta 4444 para transmitir as informações roubadas.

O novo malware é difícil de ser detectado por residir na memória. O antivírus precisa ser capaz de verificar este espaço enquanto o computador está em execução para que sua detecção seja possível. Se o PC for reinicializado, o malware também será removido.

Confira os detalhes técnicos sobre o malware acessando o post no blog da Kaspersky aqui.

Agradecemos ao Davi e ao Igor, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Botnet Mirai deixa 1 milhão de alemães sem Internet

mirai_botnetQuase um milhão de usuários da internet ficaram sem conexão na Alemanha durante o último fim de semana graças a um ataque da botnet Mirai. Baseada na internet das coisas, a rede deixou 900 mil pessoas desconectadas e gerou problemas de lentidão e instabilidade para um número ainda maior de pessoas.

Segundo a Deutsche Telekom afirmou à agência de notícias AFP, o ataque foi realizado a partir de roteadores localizados fora de sua rede. Segundo a companhia, modelos específicos de roteadores foram modificados com um software que os impedia de fazer a ligação com a infraestrutura da operadora.

Ataques do tipo estão virando parte da vida cotidiana e as pessoas têm que se acostumar com eles

O objetivo do ataque foi “recrutar” mais gadgets para realizar uma ofensiva ainda maior em um momento futuro. A Mirai funciona principalmente a partir de dispositivos pertencentes à categoria “Internet das Coisas” que, infectados com malwares, podem ser controlados de forma remota por pessoas mal intencionadas.

A chanceler Angela Merkel afirma que a origem do ataque continua desconhecida e que investigadores continuam a analisar o incidente. “Ataques do tipo estão virando parte da vida cotidiana e as pessoas têm que se acostumar com eles”, afirmou ela à Reuters. Para impedir que seus dispositivos sejam usados em ataques do tipo, é recomendado modificar o quanto antes a senha padrão configurada pelas fabricantes durante a etapa de produção e só conectá-los a redes WiFi consideradas seguras.

Fonte: Tecmundo

100 mil aparelhos contaminados foram usados em ataque ao Twitter e Spotify

hacker_vs_crackersA grande queda da Internet ocorrida em 21/10, foi causada por crackers usando um número estimado em 100 mil aparelhos, muitos dos quais tinham sido infectados com um malware conhecidos que pode assumir o controle de câmeras e aparelhos de gravação DVR, afirmou a provedora de DNS afetada, Dyn.

“Podemos confirmar que um volume significativo do tráfego do ataque teve origem a partir de botnets baseados no (malware) Mirai”, afirmou a Dyn em um post sobre o assunto nesta quarta-feira, 26/10.

O malware conhecido como Mirai já tinha sido culpado por causar pelo menos parte do ataque de negação de serviço (DDoS) na sexta, 21/10, que atingiu a Dyn e derrubou e/ou deixou bastante lento o acesso a muitos sites conhecidos nos EUA, como Twitter, New York Times e Spotify.

Mas a Dyn fez novas revelações na quarta-feira, 26/10, dizendo que os aparelhos infectados com o Mirai foram, na verdade, a fonte primária para o ataque da semana passada.

O comunicado da empresa também sugere que os hackers por trás do ataque podem ter se segurado. Companhias observaram diferentes variações do malware se espalhando por mais de 500 mil aparelhos vendidos com senhas padrão fracas, o que torna a invasão deles bem mais fácil.

Como o ataque em 21/10, envolveu apenas 100 mil aparelhos, é possível que os crackers poderiam ter realizado um ataque DDoS ainda mais poderoso, afirmou o especialista em segurança da Imperva, Ofer Gayer.

“Talvez esse tenha sido apenas um tiro de aviso. Talvez os hackers soubessem que isso era o suficiente e não precisaram usar todo o seu arsenal”, aponta.

Fonte: IDGNow!

Ransomware brasileiro tem como foco de ataque os Hospitais

teamxratCredenciais roubadas ou fracas de desktop remotos costumam ser usadas para infectar sistemas de pontos de venda com malware, mas recentemente elas também se tornaram um método comum de distribuição para ransomware.

Em março, pesquisadores de segurança descobriram um programa de ransomware chamado Surprise que estava sendo instalado por meio de credenciais roubadas do TeamViewer, uma ferramenta popular para administração remota. Mas a tendência começou muito antes disso, com algumas variações de ransomware sendo distribuídas por meio de ataques de força bruta para descoberta de senhas contra servidores Remote Desktop Protocol (RDP) desde 2015.

Apesar desse método de infecção ter sido inicialmente usado por programas de ransomware relativamente obscuros, recentemente ele foi adotado por um número cada vez maior de cibercriminosos, incluindo aqueles por trás de programas de ransomware com grande alcance como Crysis.

Pesquisadores de segurança da Kaspersky Lab descobriram um novo programa de ransomware que afetou hospitais e outras organizações no Brasil. Eles nomearam a ameaça de Trojan-Ransom.Win32.Xpan e afirmam que foi criada pela gangue TeamXRat (que também se denomina CorporacaoRat), que antes era especializada em trojans de acesso remoto (RATs).

De acordo com a empresa de antivírus, os criminosos da TeamXRat realizaram ataques de força bruta contra servidores RDP conectados à Internet e então instalaram manualmente o ransomware nos servidores hackeados.

“Conectar servidores de desktops remotos diretamente à Internet não é recomendado e realizar ataques de força bruta contra eles não é nada novo; mas sem os controles apropriados para evitar ou pelo menos detectar e responder às máquinas comprometidas, os ataques de força bruta contra RDP ainda são relevantes e algo que os cibercriminosos gostam de fazer”, afirmam os pesquisadores da Kaspersky. “Uma vez que o servidor é comprometido, o invasor desabilita manualmente o app de antivírus instalado no servidor e realiza a infecção em si.”

O Brasil possui mais servidores RDP comprometidos sendo vendidos no mercado negro do que qualquer outro país, sendo seguido por Rússia, Espanha, Reino Unido e EUA.

Felizmente, no caso do Xpan, os autores do ransomware cometeram um erro na sua implementação da criptografia que permitiu à Kaspersky desenvolver um método para recuperar os arquivos afetados sem precisar pagar o “resgate”. Não há uma ferramenta de criptografia que pode ser baixada, mas as vítimas do Xpan são aconselhadas a entrarem em contato com o departamento de suporte da empresa de segurança e pedir por ajuda.

Erros na implementação de criptografia não são incomuns em programas de ransomware, especialmente nos mais novos. No entanto, os desenvolvedores de ransomware costumam ser rápidos em corrigir as falhas e, mais cedo ou mais tarde, o programa acaba usando uma criptografia forte e inquebrável.

Fonte: Computer World