Ataque remoto: nova modalidade de roubo de bancos

Imagina se você é funcionário de um banco e vai fazer a reposição na máquina de autoatendimento. Quando vai realizar o trabalho, a encontra vazia, sem nenhuma cédula ou registros de transações bancárias. Não há também vestígios de interação física com a máquina nem malware — não aparentemente.

Em fevereiro deste ano, a Kaspersky, empresa de segurança digital, publicou em seu blog resultados de uma investigação sobre ataques misteriosos contra bancos, os quais incluíam casos no Brasil, usando um malware que não deixa vestígios. O caso foi chamado de “ATMitch”.

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque: não foi possível localizar os executáveis maliciosos porque, após o roubo, os cibercriminosos tinham removido o malware.

Analisando os arquivos de log – que funcionam como um histórico de operações da máquina – os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas e estabeleceram conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Depois de um dia de espera, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. Foi vista duas vezes: uma no Cazaquistão, e outra na Rússia.

Esse malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando.

Depois de retirar dinheiro, os criminosos o pegam e vão embora. Uma vez que um banco é roubado, o malware exclui seus traços.

Responsáveis pelo ataque

Ainda não se sabe quem está por trás dos ataques, já que o uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos torna quase impossível determinar o grupo responsável.

Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber nesse perfil são GCMAN e Carbanak.
Para saber mais informações sobre a investigação, bem como os detalhes da análise, você pode acessar o site da Secure List [em inglês].

Fonte: Tecmundo

Novo malware ataca bancos, governos e empresas de telecomunicação

fileless_malware_statsA Kaspersky alertou nesta semana para um novo malware praticamente indetectável que já infectou mais de 140 empresas e organizações em todo o mundo.

De acordo com o post em seu blog, o malware infectou bancos, agências governamentais e empresas de telecomunicações para roubar informações confidenciais. O Brasil também está entre os países onde a infecção foi notada.

O novo malware, que foi batizado como MEM:Trojan.win32.cometer e MEM:Trojan.win32.metasploit pela Kaspersky, é um verdadeiro pesadelo para administradores e gerentes de TI. O que o torna tão problemático é que ele utiliza softwares legítimos, e geralmente com código aberto, para infectar um sistema com Windows.

Quando a infecção é bem-sucedida, o malware remove todos os traços de sua presença no computador e passa a residir na memória. Com isso os softwares antivírus que verificam o disco rígido do sistema infectado não conseguem detectá-lo.

Outro detalhe é que o novo malware também pode se esconder em outras aplicações, ficando invisível para os softwares antivírus.

Em seu blog, a Kaspersky oferece detalhes mais técnicos sobre como o malware opera. O processo de infecção começa com um instalador temporário no disco rígido.

Este instalador temporário injeta o malware na memória do computador usando um arquivo MSI comum, que depois é removido automaticamente.

Já dentro da memória, o malware utiliza scripts do PowerShell para obter privilégios administrativos no computador infectado e começar a roubar as informações.

A partir do momento em que ele começa a coletar as informações, o malware utiliza a porta 4444 para transmitir as informações roubadas.

O novo malware é difícil de ser detectado por residir na memória. O antivírus precisa ser capaz de verificar este espaço enquanto o computador está em execução para que sua detecção seja possível. Se o PC for reinicializado, o malware também será removido.

Confira os detalhes técnicos sobre o malware acessando o post no blog da Kaspersky aqui.

Agradecemos ao Davi e ao Igor, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Botnet Mirai deixa 1 milhão de alemães sem Internet

mirai_botnetQuase um milhão de usuários da internet ficaram sem conexão na Alemanha durante o último fim de semana graças a um ataque da botnet Mirai. Baseada na internet das coisas, a rede deixou 900 mil pessoas desconectadas e gerou problemas de lentidão e instabilidade para um número ainda maior de pessoas.

Segundo a Deutsche Telekom afirmou à agência de notícias AFP, o ataque foi realizado a partir de roteadores localizados fora de sua rede. Segundo a companhia, modelos específicos de roteadores foram modificados com um software que os impedia de fazer a ligação com a infraestrutura da operadora.

Ataques do tipo estão virando parte da vida cotidiana e as pessoas têm que se acostumar com eles

O objetivo do ataque foi “recrutar” mais gadgets para realizar uma ofensiva ainda maior em um momento futuro. A Mirai funciona principalmente a partir de dispositivos pertencentes à categoria “Internet das Coisas” que, infectados com malwares, podem ser controlados de forma remota por pessoas mal intencionadas.

A chanceler Angela Merkel afirma que a origem do ataque continua desconhecida e que investigadores continuam a analisar o incidente. “Ataques do tipo estão virando parte da vida cotidiana e as pessoas têm que se acostumar com eles”, afirmou ela à Reuters. Para impedir que seus dispositivos sejam usados em ataques do tipo, é recomendado modificar o quanto antes a senha padrão configurada pelas fabricantes durante a etapa de produção e só conectá-los a redes WiFi consideradas seguras.

Fonte: Tecmundo

100 mil aparelhos contaminados foram usados em ataque ao Twitter e Spotify

hacker_vs_crackersA grande queda da Internet ocorrida em 21/10, foi causada por crackers usando um número estimado em 100 mil aparelhos, muitos dos quais tinham sido infectados com um malware conhecidos que pode assumir o controle de câmeras e aparelhos de gravação DVR, afirmou a provedora de DNS afetada, Dyn.

“Podemos confirmar que um volume significativo do tráfego do ataque teve origem a partir de botnets baseados no (malware) Mirai”, afirmou a Dyn em um post sobre o assunto nesta quarta-feira, 26/10.

O malware conhecido como Mirai já tinha sido culpado por causar pelo menos parte do ataque de negação de serviço (DDoS) na sexta, 21/10, que atingiu a Dyn e derrubou e/ou deixou bastante lento o acesso a muitos sites conhecidos nos EUA, como Twitter, New York Times e Spotify.

Mas a Dyn fez novas revelações na quarta-feira, 26/10, dizendo que os aparelhos infectados com o Mirai foram, na verdade, a fonte primária para o ataque da semana passada.

O comunicado da empresa também sugere que os hackers por trás do ataque podem ter se segurado. Companhias observaram diferentes variações do malware se espalhando por mais de 500 mil aparelhos vendidos com senhas padrão fracas, o que torna a invasão deles bem mais fácil.

Como o ataque em 21/10, envolveu apenas 100 mil aparelhos, é possível que os crackers poderiam ter realizado um ataque DDoS ainda mais poderoso, afirmou o especialista em segurança da Imperva, Ofer Gayer.

“Talvez esse tenha sido apenas um tiro de aviso. Talvez os hackers soubessem que isso era o suficiente e não precisaram usar todo o seu arsenal”, aponta.

Fonte: IDGNow!

Ransomware brasileiro tem como foco de ataque os Hospitais

teamxratCredenciais roubadas ou fracas de desktop remotos costumam ser usadas para infectar sistemas de pontos de venda com malware, mas recentemente elas também se tornaram um método comum de distribuição para ransomware.

Em março, pesquisadores de segurança descobriram um programa de ransomware chamado Surprise que estava sendo instalado por meio de credenciais roubadas do TeamViewer, uma ferramenta popular para administração remota. Mas a tendência começou muito antes disso, com algumas variações de ransomware sendo distribuídas por meio de ataques de força bruta para descoberta de senhas contra servidores Remote Desktop Protocol (RDP) desde 2015.

Apesar desse método de infecção ter sido inicialmente usado por programas de ransomware relativamente obscuros, recentemente ele foi adotado por um número cada vez maior de cibercriminosos, incluindo aqueles por trás de programas de ransomware com grande alcance como Crysis.

Pesquisadores de segurança da Kaspersky Lab descobriram um novo programa de ransomware que afetou hospitais e outras organizações no Brasil. Eles nomearam a ameaça de Trojan-Ransom.Win32.Xpan e afirmam que foi criada pela gangue TeamXRat (que também se denomina CorporacaoRat), que antes era especializada em trojans de acesso remoto (RATs).

De acordo com a empresa de antivírus, os criminosos da TeamXRat realizaram ataques de força bruta contra servidores RDP conectados à Internet e então instalaram manualmente o ransomware nos servidores hackeados.

“Conectar servidores de desktops remotos diretamente à Internet não é recomendado e realizar ataques de força bruta contra eles não é nada novo; mas sem os controles apropriados para evitar ou pelo menos detectar e responder às máquinas comprometidas, os ataques de força bruta contra RDP ainda são relevantes e algo que os cibercriminosos gostam de fazer”, afirmam os pesquisadores da Kaspersky. “Uma vez que o servidor é comprometido, o invasor desabilita manualmente o app de antivírus instalado no servidor e realiza a infecção em si.”

O Brasil possui mais servidores RDP comprometidos sendo vendidos no mercado negro do que qualquer outro país, sendo seguido por Rússia, Espanha, Reino Unido e EUA.

Felizmente, no caso do Xpan, os autores do ransomware cometeram um erro na sua implementação da criptografia que permitiu à Kaspersky desenvolver um método para recuperar os arquivos afetados sem precisar pagar o “resgate”. Não há uma ferramenta de criptografia que pode ser baixada, mas as vítimas do Xpan são aconselhadas a entrarem em contato com o departamento de suporte da empresa de segurança e pedir por ajuda.

Erros na implementação de criptografia não são incomuns em programas de ransomware, especialmente nos mais novos. No entanto, os desenvolvedores de ransomware costumam ser rápidos em corrigir as falhas e, mais cedo ou mais tarde, o programa acaba usando uma criptografia forte e inquebrável.

Fonte: Computer World

Yahoo hackeado: 500 milhões de contas vazam na rede

Yahoo_sad_faceO grupo Yahoo! enfrentava nesta sexta-feira fortes pressões para explicar como mais de 500 milhões de contas de usuários no final de 2014 foram hackeadas por uma organização, segundo a companhia, vinculada a um Estado.

A invasão é uma das mais importantes já registradas contra uma empresa americana. Em 2012, o portal internet afirmava ter mais de um bilhão de contas em sua base de dados.

Os hackers roubaram dados pessoais como datas de nascimento, endereços de e-mail, números de telefone e senhas, informou o grupo na quinta-feira. Ao mesmo tempo, o Yahoo! garantiu que os dados bancários dos usuários não foram afetados.

O Yahoo! informou que está trabalhando em estreita colaboração com as autoridades americanas competentes nesse assunto para investigar o ataque.

“A investigação não encontrou nenhum elemento que mostre que a entidade em questão está presente atualmente no sistema de informática do Yahoo!”, afirmou o grupo em um comunicado.

A empresa informou os usuários afetados.

O portal americano não cita o nome do grupo suspeito de executar o ataque.

Mudança das senhas

Em agosto, um “hacker” identificado como “Peace” ofereceu em diversos fóruns na internet 200 milhões de nomes de usuários de de senhas do Yahoo! por 1.900 dólares no total.

“Peace” é conhecido por ter feito o mesmo com os dados de usuários do Myspace e LinkedIn.

“Se eu fosse obrigado a anunciar a má notícia de que minha empresa foi atacada e que pelo menos 500 milhões de contas foram afetadas, me sentiria melhor dizendo que os hackers são patrocinados por um Estado que dizer que se trata de um grupo de jovens de 15 anos de um lugar de fama ruim da cidade”, disse o especialista em segurança Graham Cluley.

Apesar do Yahoo! afirmar que adotou todas as medidas necessárias para proteger as contas afetadas, a empresa recomenda aos internautas que não trocaram as senhas desde 2014 que o façam o mais rápido possível, além de alterar as perguntas e respostas de segurança.

Também recomenda aos usuários que examinem suas contas para constatar que não há atividades suspeitas.

A empresa aconselha a não abrir links ou fazer o download de arquivos anexados procedentes de e-mails suspeitos, além de manter a vigilância ante qualquer pedido de informação pessoal.

Yahoo! recorda que os ataques a sistemas dos grupos de tecnologia por grupos vinculados a Estados aumentaram nos últimos anos.

A invasão pode afetar a venda, por 4,8 bilhões de dólares, anunciada em julho, das atividades de internet (Yahoo Mail, Yahoo News, etc) do grupo à operadora de telefonia Verizon. O preço pode ser alterado.

“Temos informações limitadas sobre o impacto do ataque. Vamos avaliar as consequências com o avanço da investigação e em função dos interesses da Verizon”, destacou a operadora.

Este não foi o primeiro caso de ataque contra a base de dados do Yahoo!: em 2012, hackers roubaram as senhas e nomes de usuários de 453.000 contas.

Ciberataques em massa

Apesar de não haver um relatório oficial sobre os casos mais importantes, muitos especialistas indicam que o ataque ao Myspace – revelado no início do ano – seria o maior até a presente data, com 360 milhões de usuários hackeados.

Em 2014, a firma Hold Security, especializada em detectar invasões on-line, diss que um grupo russo hackeou 1,2 bilhão de nomes de usuários e contrassenhas, mas não deu detalhes das companhias afetadas.

Além do Yahoo!, as piratarias se multiplicaram nos últimos meses nos Estados Unidos, a maioria contra sistemas informáticos de grandes grupos como Home Depot e Target, o primeiro banco americano JPMorgan Chase, a seguradora Anthem ou os estúdios de cinema Sony Pictures Entertainment. Em vários casos, os suspeitos de pirataria estariam na China.

Em 10 anos, os ciberataques contra empresas americanas dispararam quase 400%, segundo a consultora Identity Theft Resource Center.

Fonte: Exame

Ataque hacker que pode alterar a memória de servidores virtuais

hacker_attackOs hackers buscam sempre brechas de segurança em sistemas e programas de todo tipo, a maioria das vezes para buscar uma solução.

Agora conseguiram identificar um novo tipo de ataque que é capaz de alterar alguma variável tão relevante como a própria memória do servidor da vítima.

Isso é o que uma equipe de experts em segurança, conseguiu, em Amsterdam, ou seja, alterar a memória de algumas máquinas virtuais na nuvem sem nenhum erro de software, utilizando para isso uma nova técnica de ataque.

Conseguiram decifrar as chaves de máquinas virtuais seguras e instalar malware sem que se note. Trata-se de uma evolução de um ataque que aproveita falhas de hardware, de forma que o atacante possa pedir ao servidor que instale software malicioso e permita o acesso de pessoas não autorizadas.

A técnica já tem nome: Flip Feng Shui (FSS). Um atacante aluga uma máquina virtual no mesmo host que a vítima e começa a trabalhar para que ambos sites compartilhem os mesmos locais de memória, modificando posteriormente a informação na memória geral da equipe para alterar a disponível pelo servidor.

Em techxplore.com é possível consultar mais detalhes com um passo a passo, embora tenha o documento completo neste PDF da Universidade responsável polo estudo.

Enfim, agora é ficar atento, se sentir que a memória de seu servidor diminuiu de repente, é possível que esteja sendo vítima de um ataque FSS.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Whatsnew