Wannacry: convertido de Bitcoin para moeda irrastreável

Nas primeiras horas da última quinta-feira (3), as mentes por trás por trás do WannaCry finalmente deixaram uma pista de que o ataque não se trata de mera diversão ou de algum tipo de desafio a sociedade: eles efetivamente sacaram toda a grana de resgate depositada ao longo dos últimos meses por suas vítimas. Infelizmente, essa pode ser a última pegada deixada pelos cibercriminosos, já que o dinheiro foi convertido em uma moeda virtualmente irrastreável.

As informações vêm do Ars Technica e indicam que os malfeitores trocaram o montante de sua carteira de Bitcoins por outra criptomoeda: o XMR. Essa moeda virtual é suportada pela Monero e tem um foco extremo na privacidade de seus usuários. Como isso acontece? Embora o item também seja baseado nos conceitos de informações distribuídas e compartilhadas via blockchain, e, portanto, válido, a adoção de ring signatures – uma espécie de autenticação digital que esconde a identificação dos participantes do grupo – faz com que a anonimidade fique garantida em todas as transações feitas na plataforma.

Por conta disso, os 52,2 Bitcoins – pouco mais de R$ 530 mil, na cotação atual – coletados através de nove saques separados sumiram de vez do radar dos internautas e, claro, das autoridades. Essa não é a primeira vez que o recurso da Monero foi usado por criminosos e gerou polêmica entre os especialistas de cibersegurança. Há pouco mais de um mês, por exemplo, o grupo hacker conhecido como Shadowbrokers anunciou que aceitaria transferências em XMR como pagamento por alguns de seus vazamentos de dados e informações mensais.

Embora algumas pessoas acreditem que o Shadowsbrokers tem alguma relação mais próxima com o WannaCry, o fato de o grupo ter revelado recentemente que o software malicioso utiliza exploits desenvolvidos pela agência de segurança norte-americana faz com que isso seja pouco provável. De fato, muitos pesquisadores acreditam que o malware foi criado pelo Lazarus Group, uma célula hacker associada com o governo da Coreia do Norte e que pode ser a responsável pelo vazamentos massivo de dados dos servidores da Sony há alguns anos.

Fonte: Tecmundo

Não pague pelo resgate exigido pelos Ransomwares

no-no-ransomPagar o resgate exigido por um ransomware não assegura o retorno de seus arquivos de forma íntegra e segura. Pense nisso por um minuto: essas pessoas são criminosas que já o enganaram, infectaram seu computador com um malware e roubaram seus arquivos.
Quais são as chances de que cumprirão sua palavra depois de já terem o pagamento?

Sendo pessimista? Talvez, mas pesquisas recentes confirmam a ideia. Uma em cada três vítimas paga o resgate.
Mas apenas 20% das pessoas que pagaram recuperaram seus arquivos.

Andrei Mochola, diretor de negócios da Kaspersky Lab, comentou: “Alertamos que todas as vítimas de ransomware, seja uma grande organização ou usuários individuais, não paguem o resgate pedido por criminosos. Se você o fizer, você estará patrocinando o “negócio” dos cibercriminosos. E, como nosso estudo mostra, não existe garantia de que pagar o resgate trará seus arquivos de volta.”

Eis o que você deve fazer para proteger seus arquivos de ransomwares e recuperá-los caso já esteja infectado.

  • Faça backups de seus dados preciosos regularmente.
  • Use uma solução de segurança confiável. Não tem de ser necessariamente um produto da Kaspersky Lab, mas modéstia à parte, podemos assegurar que somos bons nisso.
  • Caso você esteja usando uma de nossas soluções de segurança, tenha certeza de nunca desativar o System Watcher. Essa função de segurança proativa é de grande ajuda no que diz respeito à proteção das mais novas espécies de malware, sendo especialmente efetiva contra ransomware.

Caso você seja um dos azarados que estão entre as vítimas de um criptor, não entre em pânico. Pode a partir de um sistema não infectado dar uma olhada no site no No More Ransom; onde podem ser encontradas ferramentas de desbloqueio capaz de recuperar seus arquivos, e sem ter de pagar nada por isso.

Fonte: Kaspersky blog

Ransomware é nova ameaça aos smartphones e tablets

ransomware_mobileO ransomware sempre esteve nas manchetes de segurança. O ransomware para Windows chamado Locky estava circulando em fevereiro e infectou muitos hospitais americanos, forçando o desligamento de suas redes. No entanto, o ransomware não está apenas atacando os computadores, mas esta praga está se tornando cada vez mais sofisticada e invadiu também os smartphones e tablets.

Como o ransomware migrou para os smartphones e tablets?

Os cibercriminosos são como as adolescentes que gostam das últimas modas e, neste caso, quiseram também “partir para a tecnologia móvel” utilizando ransomwares. O malware utilizado para atacar computadores está agora mirando os smartphones e tablets.

Quase dois terços dos americanos possui um smartphone e de acordo com um relatório da Ericsson, 70% da população mundial estará utilizando um smartphone em 2020. Este crescente público alvo é ideal para os cibercriminosos porque as pessoas estão armazenando cada vez mais dados pessoais e sensíveis em seus smartphones, o que também significa que estão mais dispostas a pagar um resgate para recuperar os seus dados em caso de ameaça.

Como o ransomware móvel é espalhado?

Já que é difícil que o malware invada a Google Play Store, os desenvolvedores de ransomwares se apoiam com tudo na engenharia social para enganar as pessoas e fazê-las baixar o conteúdo malicioso dos seus sites. Já vimos muitos casos onde o ransomware é disfarçado de um aplicativo antivírus em um site que parece quase idêntico ao Google Play. Primeiro o usuário se depara com uma propaganda enquanto navega e que “informa” que o aparelho está infectado. Tocando na propaganda, será aberta uma página que se parece com a Loja Google Play. Se você olhar com cuidado, verá que o site tem um nome de domínio diferente. O falso site terá um endereço, por exemplo, google.xy e não google.com. O falso aplicativo irá informar à vítima que precisa habilitar o uso de aplicativos de outras fontes (lojas) que a oficial da Loja Google Play.

O ransomware também pode ser disseminado através de falhas ou bugs como o Certifi-gate (malware). Se o ransomware for distribuído via Certifi-gate, um aplicativo malicioso não precisa enganar o usuário e pedir permissão para ser baixado de fora da Loja Google Play. Ele pode obter esta permissão de acesso sozinho.

O que acontece quando o resgate é pago?

Em alguns casos, os aplicativos não descriptografam os dados mesmo que um resgate tenha sido pago. Já foram encontrados casos onde o aplicativo descriptografa os dados após o pagamento do resgate e finge que se removeu do aparelho, mas, na realidade, o ransomware permaneceu oculto no aparelho. Enquanto estiver oculto, ele pode permanecer hibernado por algum tempo, enviando apenas informações ao servidor. Neste caso, os cibercriminosos podem enviar um comando e reativar o ransomware depois de algum tempo.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Avast blog

Ransomware bloqueia Android e exige vale-presente

cyberpoliceandroidPesquisadores da empresa de segurança Blue Coat descobriram que criminosos estão utilizando um “kit de ataque” para instalar um aplicativo malicioso em dispositivos Android vulneráveis. O app é instalado automaticamente — não é preciso autorizar nada — caso o internauta visite certos sites pelo celular. Após instalado, o app bloqueia o uso do aparelho e solicita que a vítima compre dois vale-presentes do iTunes, no valor de US$ 100 (R$ 355) cada um e informe os códigos para o criminoso.

Caso o usuário pague, celular será “desbloqueado” pelo aplicativo malicioso. Pelo menos, é o que os golpistas prometem. A praga utiliza um tema policial, usando o nome de “Cyber.Police”. Ela acusando o internauta de ter cometido crimes e justifica o desbloqueio como “multa”. A praga é conhecida desde dezembro, mas não se sabia que ela utilizava brechas de segurança para ser instalada nos celulares.

Diferente de outros ransomwares, o “Cyber Police” não criptografa os dados do celular. Segundo a Blue Coat, é possível inclusive conectar o celular via USB em um computador e copiar os dados armazenados no aparelho. No entanto, não é possível utilizar o telefone. Para restaurar o acesso é preciso pagar os US$ 200 (cerca de R$ 710) ou então realizar um “reset” para restaurar o aparelho aos padrões de fábrica (o que não custa nada).

O código malicioso foi distribuído por um anúncio publicitário na web e é baseado nas falhas de segurança usadas pela empresa italiana de segurança Hacking Team que vazaram na web após a empresa ser exposta em 2015. A empresa usava essas falhas para instalar programas espiões para investigações da polícia. Por conta da exploração da brecha, a instalação do aplicativo ocorre automaticamente com a visita à página maliciosa — não há um aviso de que qualquer aplicativo será instalado.

O dispositivo infectado no laboratório rodava o Android 4.2.2. Segundo a Blue Coat, aparelhos com Android 4.0.3 a 4.4.4 podem ser atacados pelo “kit de ataque” empregado no golpe. De acordo com dados atuais do Google, 56,9% de todos os aparelhos com Android utilizam essas versões do sistema. Quem pode atualizar o sistema para uma versão mais nova do Android deve fazê-lo para se proteger.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Maktub Locker: o ransomware que sabe onde você mora

maktub_lockerRansomware é um tipo de malware que tem atacado as pessoas e tentado fazer os computadores reféns para obrigar os seus proprietários a pagar um resgate.
Este malware, depois de entrar no sistema, toma conta de todos os aquivos do computador, os criptografa e por consequência nada há mais que se possa fazer… se não formatar a máquina ou pagar o que exigem os criminosos, sem nenhuma garantia de que a chave de desbloqueio lhe será de fato enviada.

O fundamental é estar atento. Mas os próprios cibercriminosos estão cada vez mais audaciosos, a nova variante de ransomware, traz um recurso adicional, já informa a localização do usuário.

O novo monstro chama-se Locker Maktub

Chama-se Locker Maktub. Esta nova variante de ransomware por chamar a atenção da vítima através de um e-mail que, aparentemente, é inocente e confiável. Ao ponto de ter, inclusive, um endereço legítimo. O assunto, para conseguir a atenção do internauta, tem de ser ou preocupante ou que requer ação imediata, a tática atualmente em curso é de ser de um aviso, para alertar a vítima, então o truque são os alertas de instituições bancárias com faturas em atraso ou de títulos protestados.

O e-mail geralmente contém um pedido de pagamento da tal fatura em atraso. O que diferencia este ransomware dos restantes que já conhecemos é que este parece ter uma ideia de onde a vítima reside, pois inclui o seu endereço dentro da mensagem.

Além disso, a mensagem contém um link que supostamente abre uma versão para impressão do documento mencionado. Ao clicar no link irá descarregar o que se parece com um documento do Word. Uma vez o arquivo sendo aberto começará a dor de cabeça do usuário, pois é neste momento que, sem se dar conta, em segundo plano o ransomware está criptografando todos os arquivos do sistema.

Pagamento para resgate do computador

Uma vez a criptografia sendo concluída, o malware irá obrigar o usuário a sair da sessão, pois será apresentada uma mensagem informando que todos os seus arquivos pessoais foram criptografados. É então exibido um temporizador, indicando quanto tempo a vítima tem para pagar o resgate. O pagamento começa em 1,4 Bitcoins (cerca de 515 euros), e aumenta à medida que o tempo passa.

Outra característica marcante do programa é que ele não precisa de uma ligação à Internet para criptografar os arquivos. Além disso, também espalha os arquivos da vítima, semelhantes ao CryptoWall, com o intuito de ocultá-los e causar assim mais confusão ao usuário, criar um verdadeiro pânico.

Já há vítimas conhecidas?

Segundo um relatório da BBC, há várias vítimas já reféns desta variante de ransomware. Foram infectadas através de um e-mail que continha uma mensagem de uma empresa a quem elas supostamente devem dinheiro, as vítimas encaminharam chamadas para a empresa incluída no e-mail, que por sua vez afirmou que eles não têm ideia de onde as mensagens partiram, ou como o seu e-mail foi usado para enviar mensagens que continham seus endereços residenciais.

No entanto, de acordo com Rahul Kashyap de Bromium Labs num e-mail para ZDNet, no golpe é utilizada uma técnica de engenharia social para fazer os usuários a terem a maior urgência na resolução do caso.

Ao que parece que os scammers estão utilizando algum tipo de base de dados com endereços residenciais à disposição do público e usam esses dados para aplicação do golpe.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Novo ransonware criptografa todo o HD

petyaProgramas maliciosos do tipo ransomware não são novdiade. Estes malwares criptografam dados e exigem dos usuários o pagamento de um resgate para que possam acessar novamente seus dados. Mas o novo exemplar conhecido por “Petya” vai mais longe.

De acordo com a G Data, uma empresa da área da segurança, o Petya é capaz de criptografar todo o disco rígido de um computador, deixando o sistema totalmente bloqueado. A contaminação se iniciar pela vítima em potencial sendo atraída por uma falsa proposta de trabalho. A infecção se dá quando o usuário cai na armadilha de fazer o download de um arquivo, supostamente um Curriculum Vitae. a execução desse aquivo faz com que o computador seja bloqueado e após o reinício do Windows aparece uma mensagem indicando que o sistema está sendo reparado.

No entanto, o que está realmente acontecendo nessa hora é a codificação dos dados do disco rígido. Mais tarde, o usuário é convidado a pagar um resgaste para recuperar a informação criptografada.
A mensagem avisa ainda que os arquivos serão definitivamente eliminados caso o pagamento não seja feito.

A G Data tem informações pormenorizadas no blog da empresa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Contas do iCloud viram alvo de sequestro

iphone_hackO pesquisador de segurança Thomas Reed da Malwarebytes alertou em um post no blog da empresa que golpistas podem estar sequestrando contas do iCloud e usando os recursos antirroubo desenvolvidos pela Apple para bloquear dispositivos, como iPhones e Macs. Para realizar o desbloqueio, o golpista exige uma quantia em dinheiro.

Reed contou o caso de uma vítima chamada Ericka que o procurou para obter auxílio com o problema. O invasor deixou a seguinte ameaça na tela do computador (em inglês ruim): “Todas as suas conversas de SMS+email, banco, arquivos do computador, contatos, fotos, eu publicarei + enviarei aos seus contatos”.

O mesmo recado foi enviado por e-mail para ela a partir do próprio endereço do iCloud dela.

Os recursos antirroubo têm por finalidade reduzir o interesse de ladrões, além de proteger os dados do usuário. Quando esses recursos são usados contra o usuário, porém, o estrago pode ser difícil de ser desfeito.

A tática ganhou exposição em 2012, quando o jornalista Mat Honan foi alvo de um ataque sofisticado que explorou uma diferença de políticas de segurança entre a Amazon e a Apple para acessar a conta de iCloud e destruir a vida digital dele. Honan teve auxílio da Apple para recuperar parte dos seus dados, mas Ericka não teve a mesma sorte, já que ela não tinha mais nenhum comprovante de compra do iMac adquirido há seis anos.

Reed argumenta que é compreensível não facilitar o desbloqueio de dispositivos que foram trancados pelas tecnologias antirroubo, mas que a mensagem de sequestro deixada pelo invasor deveria ser um sinal de que se tratava de um golpe.

O especialista recomenda o uso de uma senha forte para o iCloud e o uso da autenticação em dois fatores. A senha usada também deve ser exclusiva para o serviço. A Apple introduziu no ano passado um novo sistema mais agressivo de autenticação de dois fatores que precisa ser ativado e ajuda a evitar o roubo da conta do iCloud.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1