Dharma: o ransomware que se disfarça de antivírus

Um novo tipo de ransomware foi descoberto pela Trend Micro: chamado de Dharma, ele utiliza instalações do antivírus ESET AV Remover falsas para distrair vítimas enquanto infecta a máquina e criptografa todos os arquivos.

De acordo com o Bleeping Computer, o ransomware é enviado via email para os computadores por meio de uma campanha de spam. Como um phishing, o ransomware fica como anexo. É interessante notar que o email lista uma senha para abrir o arquivo malicioso: a vítima, curiosa com a senha no corpo de email, assim que abre o arquivo acaba liberando a infecção.

A mensagem no email diz o seguinte: “Seu Windows está temporariamente em risco! Nosso sistema detectou vários dados incomuns do seu PC. Está corrompido pelo DISPLAY SYSTEM 37.2%. Todas as suas informações estão em risco, isso pode danificar os arquivos do sistema, dados, aplicativos ou até mesmo causar vazamentos de dados, etc. Atualize e verifique seu antivírus abaixo. Senha: http://www.microsoft.com”.

É interessante notar o uso do instalador ESET AV Remover enquanto o ransomware age por baixo dos panos. A vítima acaba pensando que está atualizando seu próprio antivírus, enquanto isso, seus arquivos vão sendo criptografados.

A ESET, dona do software AV Remover — que é legítimo —, comentou o seguinte sobre o caso:

“O artigo descreve a prática bem conhecida de um malware ser empacotado com aplicativos legítimos. No caso específico que a Trend Micro está documentando, foi utilizado um ESET AV Remover oficial e não modificado. No entanto, qualquer outro aplicativo poderia ser usado dessa maneira. A principal razão é para distrair o usuário; este aplicativo é usado como um aplicativo chamariz. Os engenheiros de detecção de ameaças da ESET viram vários casos de ransomware em pacote de extração automática junto com alguns arquivos limpos ou hack/keygen/crack recentemente. Então isso não é novidade.

No caso específico descrito pela Trend Micro, o ransomware é executado logo após o nosso aplicativo removedor, mas o removedor tem um diálogo e aguarda a interação do usuário, portanto não há nenhuma chance de remover qualquer solução AV antes que o ransomware seja totalmente executado”.

A lição é a mesma de sempre: não abra emails de desconhecidos.

Fonte: Tecmundo

Brasil: entre os países da AL mais afetados por ransomware

O Brasil foi um dos quatro países da América Latina mais afetados por ransonware em 2018, segundo o relatório ESET Security Report. De acordo com o estudo, o vírus que sequestra o computador afetado e cobra por resgate coloca a Colômbia como principal vítima, com 30% da frequência dos casos, seguido pelo Peru (16%), México (14 %) e o Brasil, com 11%. Globalmente, os Estados Unidos (9%) e a Rússia (7%) ocupam as primeiras posições no ranking.

Segundo o levantamento, as famílias de ransomware mais ativas do mundo no ano passado foram TeslaCrypt, Crysis e CryptoWall, seguidas pelo TorrentLocker e WannaCryptor. No entanto, algumas delas impactaram de maneira particular a América Latina.

Os 11% que colocam o Brasil entre os países com mais detecções são compostos por diferentes famílias de ransomware muito atuantes na região. São eles: Crysis (25%), TeslaCrypt (11%) e CryptoWall (10%). O Crysis surgiu no início de 2016 e embora atualmente existam ferramentas de decifração para as primeiras versões da ameaça, as variantes mais recentes ainda não foram decifradas.

A Colômbia foi o país com mais detecções do ransomware chamado “Crysis”, principalmente por causa de uma campanha dirigida especialmente ao país. A ameaça teve como característica o uso de engenharia social para enganar as vítimas por meio de um e-mail que os informava de uma suposta situação de dívida. Dessa forma, o usuário baixava o arquivo anexado ao e-mail falso e era infectado. A ameaça foi tão efetiva, que 82% das detecções de ransomware no país correspondem ao Crysis. No total, foi verificado um aumento de 199% detecções de sequestros de dados durante 2018.

O Peru também possui seu próprio microecossistema de ransomware, dominado principalmente por duas famílias. Um deles é o CryptProjectXXX. Essa variante, além de criptografar informações, tem recursos para roubar informações confidenciais.

Já o cenário de ameaças do México é mais diversificado. No ano passado, mais de 200 variantes de ransomware se espalharam pela região. As duas famílias que centralizaram as maiores detecções foram Crysis e TeslaCrypt, cada uma concentrando 14% das detecções FileCoder no país. CryptoWall com 13% ficou em terceiro lugar.

O ransomware deixou de ser o principal foco de atenção no mundo da segurança cibernética em termos da quantidade de detecção, no entanto, suas consequências devastadoras o posicionam como a principal causa de preocupação das organizações da região, de acordo com o levantamento da ESET América Latina.

“Conforme foi possível notar ao longo de 2018, especialmente pelos diversos ataques de criptomineiradores, acreditamos que os cibercriminosos estão modificando seu modus operandi, concentrando-se na criação de ransomwares mais complexos para ambientes corporativos com campanhas de propagação muito mais focadas. É possível ainda que os atacantes virtuais reinventem a forma de sequestro digital, adicionando novos recursos. De qualquer maneira, podemos esperar que estas ameaças continuem em vigor nos próximos anos”, reflete Camilo Gutierrez, chefe de laboratório da ESET América Latina.

Fonte: IDGNow!

Keypass: um ransomware muito perigoso

KEYPASS-ransomwareO KeyPass é um ransomware bem confuso. Atinge computadores ao redor do mundo, sem preferências, é extremamente democrático. Ele já apareceu em mais de 20 países. Brasil e o Vietnã têm sido os países mais atingidos, mas foram feitas vítimas na Europa e na África também, e o malware continua a conquistar o globo.

Não faça prisioneiros, não deixe arquivos descriptografados

O KeyPass também não apresenta discernimento na hora de escolher seus arquivos-reféns. Muitas espécies de ransomware caçam documentos com extensões específicas, mas esse ignora apenas algumas pastas. Todo o resto do conteúdo do computador é transformado em qualquer coisa com a extensão .keypass. Na verdade, os arquivos não são criptografados na íntegra, apenas os primeiros 5MB de cada, mas isso não serve de consolo.

Nos diretórios “processados”, o malware deixa um bilhete em formato TXT no qual seus criadores exigem (em inglês bastante ruim) que as vítimas comprem um programa e uma chave individual para recuperação de arquivos. Para convencê-las de que não é apenas um desperdício de dinheiro, são convidadas a enviar de 1 a 3 arquivos para os criminosos quebrarem a criptografia gratuitamente.

Os cibercriminosos exigem U$300 para devolver os arquivos, com o aviso de que esse preço é válido apenas pelas primeiras 72 horas após a infecção. Para instruções detalhadas sobre como recuperar os documentos, deve-se entrar em contato por meio de um dos dois endereços de e-mail e enviar sua identificação conforme especificado no bilhete. Contudo, recomendamos que não pague o resgate.
Uma característica peculiar do KeyPass é que, por alguma razão, o computador não está conectado à Internet quando o malware começa a trabalhar, então o vírus não pode recuperar a chave de criptografia pessoal do servidor C&C. Nesse caso, usa uma chave de codificação rígida, o que significa que os arquivos podem ser descriptografados sem qualquer problema; a chave já está à mão. Infelizmente, em outros casos, você não vai se safar tão fácil: apesar da implementação bastante simples, os cibercriminosos não cometeram erros na criptografia.

Nos casos que conhecemos, o malware agiu automaticamente, mas seus criadores também forneceram uma opção de controle manual. Eles contam com que o KeyPass seja distribuído manualmente – ou seja, planejam usá-lo para ataques direcionados. Se os cibercriminosos conseguirem se conectar ao computador da vítima remotamente e colocar o ransomware lá, pressionar uma chave específica vai mostrar um formulário no qual podem modificar as configurações de encriptação, incluindo a lista de pastas que o KeyPass ignora, mais o texto do bilhete de resgate e a chave privada.

Como proteger seu computador do ransomware KeyPass

Uma ferramenta para descriptografar arquivos atingidos pelo KeyPass ainda precisa ser desenvolvida, então a única maneira de proteger seus dados é evitar proativamente a infecção. Bem, é sempre melhor prevenir do que remediar; lidar com as consequências de ser negligente demanda muito mais tempo e esforço do que evitá-las no início. Dessa forma, recomendamos algumas medidas simples, que são igualmente eficazes para o KeyPass, para se proteger contra todos os ransomwares:

  • Nunca baixe programas desconhecidos de sites duvidosos ou clique em links se tiver qualquer mínima suspeita. Isso vai ajudá-lo a evitar a maioria dos malwares que estão vagando na web.
  • Faça backup de todos os arquivos importantes. Confira esse post para saber tudo sobre o assunto.
  • Utilize uma solução de segurança confiável que identifica e bloqueia programas suspeitos antes que possam prejudicar seu computador.
Fonte: Kaspersky

SyncAck: um perigoso ransomware da nova geração

Os malwares tendem a evoluir conforme criminosos adicionam novas funcionalidades e técnicas para evitar a detecção por programas de antivírus. Às vezes, essa evolução é bastante rápida. Por exemplo, o ransomware SynAck, conhecido desde setembro de 2017 (quando era apenas comum e pouco inteligente), foi recentemente reformulado e tornou-se uma ameaça muito sofisticada que evita detecções com uma eficácia sem precedentes e usa uma nova técnica chamada Process Doppelgänging.

Ataque surpresa

Os criadores de malware utilizam muito a técnica de ofuscamento — tentativas de deixar o código ilegível para que os antivírus não reconheçam o malware — que normalmente empregam pacotes de software especiais para esse objetivo. No entanto, os desenvolvedores de antivírus perceberam e esse tipo de estratégia é facilmente detectada. Os cibercriminosos por trás do SynAck escolheram outro jeito que requer mais esforço de ambos os lados: ofuscar o código de forma completa e cuidadosamente antes de o compilar, o que dificulta significativamente o trabalho de detecção das soluções de segurança.

Esse não é o único método de fuga da nova versão do SynAck emprega. Adicionalmente, implementa uma técnica bastante complicada chamada Process Doppelgänging – e é o primeiro ransomware a ser visto à solta fazendo isso. Foi apresentada pela primeira vez na Black Hat 2017 por pesquisadores de segurança, e em seguida captada por cibercriminosos e utilizada em diversas espécies de malware.

O método Process Doppelgänging conta com alguns recursos do sistema de arquivos NTFS e um carregador de processos desatualizado que existem em todas as versões do Windows desde o Windows XP, e que permitem que desenvolvedores criem malwares “sem arquivo” que fazem com que ações maliciosas se passem por processos legítimos e inofensivos. A técnica é complicada; para saber mais, veja este post do Securelist.

O SynAck tem mais duas características dignas de mencionar. Primeiro, verifica se está instalado no diretório correto. Se não estiver, não executa – essa é uma tentativa de evitar a detecção por meio das sandboxes automáticas que várias soluções de segurança utilizam. Segundo, o SynAck analisa se está instalado em um computador com um teclado definido para um determinado script – nesse caso, o alfabeto cirílico – e, nessa situação, também não faz nada. Essa é uma técnica comum para restringir o malware em regiões específicas.

O crime habitual

Para o usuário, o SynAck é apenas mais um ransomware, notável principalmente pela sua demanda de resgate considerável: US$ 3000 mil. Antes de criptografar os arquivos da vítima, garante que tem acesso aos mais importantes durante a derrubada de alguns processos que, de outra forma, manteriam esses arquivos em uso e fora de perigo.

A vítima vê o pedido de resgate, que inclui as instruções de contato, na tela de login. Infelizmente, o SynAck usa um algoritmo de encriptação poderoso e nenhuma falha foi encontrada em sua implementação d – por isso ainda não há como descriptografar os arquivos atingidos.

Observamos que o SynAck foi distribuído, na maioria das vezes, por meio de um ataque de força bruta ao protocolo Remote Desktop Protocol – o foco são usuários corporativos. O número limitado de ataques até agora – todos nos EUA, Kwait e Irã – corroboram com essa hipótese.

Prepare-se para a próxima geração de ransomware

Mesmo que o SynAck não esteja atrás de você, sua existência é um sinal claro da evolução dos ransomwares, que se tornam mais sofisticados e difíceis de combater. Os utilitários de descriptografia vão ser menos frequentes conforme os criminosos aprendem como evitar os erros que tornaram possível sua criação. Apesar de terem cedido terreno para os mineradores ocultos (conforme previmos), o ransomware ainda é uma grande tendência global, e saber como se proteger contra todas essas ameaças é essencial para todo usuário de Internet.

Aqui estão algumas dicas que podem ajudar você a evitar a infecção ou, se necessário, minimizar as consequências.

Faça backups dos seus dados regularmente. E os armazene em diferentes mídias que não estejam permanentemente conectadas à sua rede ou à Internet.
Se você não utiliza o Windows Remote Desktop em seus processos de negócios, o desabilite.

Fonte: Kaspersky

Táticas para proteger empresas de Ransomwares

Desde que a primeira variante de ransomware foi disseminada por disquetes em 1989, os ataques desse tipo tornaram-se muito mais sofisticados. Os ataques WannaCry, por exemplo, que ocorreram em maio deste ano, usaram um malware worm para infectar computadores conectados a uma mesma rede, causando impactos a mais de 150 países e em diversas verticais, como agências de governo e fábricas.

O ransomware foi classificado como o malware mais rentável de todos, somando cerca de US$ 1 bilhão em lucros em 2016, de acordo com o FBI. Diversas outras pesquisas confirmam que o ransomware está crescendo, justamente porque os cibercriminosos aproveitam a enorme rentabilidade que ele traz.

A principal razão por trás do sucesso do ransomware é que as empresas estão, em grande parte, despreparadas para um ataque. Os ataques do WannaCry se espalharam rapidamente através de suas capacidades de autopropagação aproveitando principalmente hardware e software desatualizados de infraestruturas de rede de muitas organizações. Os prejuízos podem ser altos – desde o custo financeiro da parada do sistema, assim como danos à reputação e perda da confiança do público. Esses últimos tendem a ser danos de longo prazo.

Assim, a defesa em profundidade, apesar de não ser um conceito novo, ainda se traduz como a melhor forma de proteção contra o ransomware e outros tipos de ciberataques. Trata-se de uma abordagem de segurança em várias camadas, que envolve desde o conhecimento do que os atacantes estão trabalhando na deep web até o treinamento dos usuários finais para proteção contra ataques de phishing.

Algumas táticas desse princípio são:

Além de scans frequentes de vulnerabilidade e testes de penetração para determinar se a empresa possui as estratégias de defesa corretas para se proteger contra o ransomware, ferramentas podem ser usadas para observar o comportamento de um ataque. Um exemplo são os feeds de inteligências de ameaças, que monitoram ataques em outros locais a fim de alertar as empresas sobre as ameaças emergentes antes que elas atinjam a rede corporativa. Provedores de inteligência de ameaças analisam esses feeds constantemente, filtrando insights para fortalecer os sistemas de segurança.

Ferramentas de Gestão de Identidade e Acesso (IAM) e Controle de Acesso à Rede (NAC) são essenciais para identificar os dispositivos da empresa e garantir que eles estejam de acordo com as políticas de segurança de TI. Todos os endpoints devem ter uma proteção adequada que previne explorações de vulnerabilidade em todos os sistemas operacionais (Windows, Android, Mac OS, iOS). Além disso, firewalls de próxima geração (NGFW) adicionam uma camada extra de varredura antimalware para arquivos maliciosos já conhecidos, e sandboxing baseado na nuvem para malwares ainda desconhecidos. Soluções de segurança para e-mails, DNS e web também contribuem para níveis mais profundos de proteção.

Caso um malware tenha infiltrado os dispositivos ou a rede, as tecnologias devem estar em ordem para detectar anomalias e os analistas de segurança devem monitorar de perto a rede. Ferramentas de detecção de tráfego malicioso baseadas em inteligência artificial podem ajudar a automatizar a detecção antes que um ataque piore. Além delas, tecnologias de detecção de brechas como ferramentas de engano e serviços de monitoramento de ameaças 24/7 podem ser implementadas em locais estratégicos para saber se um ransomware está se propagando, oferecendo assim alertas prévios.

Esses são apenas alguns exemplos de táticas para construir uma boa defesa contra ransomware e outros malwares. Onde e como construir as defesas são considerações críticas para reduzir os riscos e mitigar as vulnerabilidades. Enfim, uma estratégia de processos, pessoas e tecnologia deve ser colocada em prática e ser constantemente melhorada para garantir a resiliência da empresa em casos de ciberataques e a continuidade dos negócios.

Fonte: IDG Now!

Novo Ransomware se espalha por países europeus

Segundo informações da ESET e Kaspersky, ameaça possui similaridades com o ransomware Petya. Alvos incluem aeroporto, metrô e sistemas de meios de comunicação.

Um novo ataque de ransomware se espalhou por diversos países da Europa nesta quarta-feira, 25/10, segundo pesquisadores da ESET e da Kaspersky. Chamada de BadRabbit, a ameaça atingiu redes corporativas e sistemas de aeroportos, metrôs e até meios de comunicação em locais como Rússia, Ucrânia, Turquia e Alemanha, entre outros.

De acordo com as empresas de segurança, o BadRabbit possui algumas similaridades com o ransomware Petya, que afetou diversos países europeus no último mês de junho. Entre elas, chama a atenção o fato dos dois ransomwares terem aparecido em vários dos mesmos sites hackeados e se espalharem por meio da interface Windows Management Instrumentation Command-line.

No entanto, o BadRabbit não utiliza EternalBlue, usado no Petya, ou qualquer outro tipo de exploit, conforme as descobertas das empresas de segurança.

A Kaspersky destaca que ainda o BadRabbit é um ataque do tipo ‘drive-by’, em que os usuários infectam suas máquinas ao baixar um instalador falso do Adobe Flash Player a partir de um site infectado – a maioria dos sites comprometidos encontrados pelos pesquisadores da empresa são de notícias ou de mídia.

Após invadirem as redes e sistemas e sequestrarem os arquivos dos usuários, os cibercriminosos por trás do BadRabbit exigem um resgate de 0,05 bitcoin – o que dá cerca de 280 dólares na taxa de câmbio atual. Por enquanto, ainda não foi descoberta e/ou publicada nenhuma forma de recuperar os arquivos criptografados sequestrados pelo BadRabbit.

Fonte: IDG Now!

nRamsom bloqueia PC e pede resgate pelo envio de nudes

Dá para dizer que 2017 é o ano do ransomware, com nomes como WannaCry e NotPetya causando diversos problemas ao redor do mundo. Agora, um novo tipo de malware capaz de sequestrar um computador e devolvê-lo somente após o pagamento de uma recompensa apareceu no pedaço: trata-se do nRansom, que pede nudes em troca do desbloqueio do máquina.

Sim, é isso mesmo. Se uma máquina é infectada, o seu dono precisa mandar nudes para os cibercriminosos para obter a destrava. E eles fazem questão de que as fotografias sejam do dono da máquina, informando até mesmo que vão averiguar a procedência das imagens antes de liberar o acesso ao computador.

“O seu computador foi travado. Você só pode destravá-lo com um código especial” avisa a mensagem exibida no PC sequestrado. Ela pede, então, que a vítima crie um email no serviço ProtonMail e envie uma mensagem para um endereço específico. “Depois de nossa resposta, você deve mandar pelo menos 10 nudes seus. Depois disso, nós verificaremos se os nudes pertencem a você. Uma vez verificados, daremos a você o seu código de desbloqueio e venderemos os seus nudes na deep web.”

Até agora, o único arquivo associado ao ransomware descoberto tem extensão EXE, ou seja, funciona apenas no Windows. O Kaspersky Lab alerta que as vítimas dessa ação não devem enviar fotos suas para os hackers e garante também ser simples se livrar do bloqueio: basta pressionar Ctlr + Alt + Shift + F4 ao mesmo tempo. Posteriormente, o ideal é passar o antivírus em todo o PC a fim de remover o malware, já identificado e combatido pelo Kaspersky Internet Security, garante a companhia.

Fonte: Tecmundo