Wannacry: convertido de Bitcoin para moeda irrastreável

Nas primeiras horas da última quinta-feira (3), as mentes por trás por trás do WannaCry finalmente deixaram uma pista de que o ataque não se trata de mera diversão ou de algum tipo de desafio a sociedade: eles efetivamente sacaram toda a grana de resgate depositada ao longo dos últimos meses por suas vítimas. Infelizmente, essa pode ser a última pegada deixada pelos cibercriminosos, já que o dinheiro foi convertido em uma moeda virtualmente irrastreável.

As informações vêm do Ars Technica e indicam que os malfeitores trocaram o montante de sua carteira de Bitcoins por outra criptomoeda: o XMR. Essa moeda virtual é suportada pela Monero e tem um foco extremo na privacidade de seus usuários. Como isso acontece? Embora o item também seja baseado nos conceitos de informações distribuídas e compartilhadas via blockchain, e, portanto, válido, a adoção de ring signatures – uma espécie de autenticação digital que esconde a identificação dos participantes do grupo – faz com que a anonimidade fique garantida em todas as transações feitas na plataforma.

Por conta disso, os 52,2 Bitcoins – pouco mais de R$ 530 mil, na cotação atual – coletados através de nove saques separados sumiram de vez do radar dos internautas e, claro, das autoridades. Essa não é a primeira vez que o recurso da Monero foi usado por criminosos e gerou polêmica entre os especialistas de cibersegurança. Há pouco mais de um mês, por exemplo, o grupo hacker conhecido como Shadowbrokers anunciou que aceitaria transferências em XMR como pagamento por alguns de seus vazamentos de dados e informações mensais.

Embora algumas pessoas acreditem que o Shadowsbrokers tem alguma relação mais próxima com o WannaCry, o fato de o grupo ter revelado recentemente que o software malicioso utiliza exploits desenvolvidos pela agência de segurança norte-americana faz com que isso seja pouco provável. De fato, muitos pesquisadores acreditam que o malware foi criado pelo Lazarus Group, uma célula hacker associada com o governo da Coreia do Norte e que pode ser a responsável pelo vazamentos massivo de dados dos servidores da Sony há alguns anos.

Fonte: Tecmundo

NotPetya é um Cyberweapon. Não é Ransomware

O ransomware NotPetya que criptografou e bloqueou milhares de computadores em todo o mundo ontem e hoje é, na realidade, um limpador de disco destinado a sabotar e destruir computadores, e não ransomware. Esta é a conclusão de dois relatórios separados provenientes dos especialistas da Comae Technologies e da Kaspersky Lab.

Especialistas dizem que NotPetya – também conhecido como Petya, Petna, ExPetr – funciona como um ransomware, mas pistas escondidas em seu código fonte revelam que os usuários nunca poderão recuperar seus arquivos.

Isso não tem nada a ver com o fato de que um provedor de e-mail alemão encerrou a conta de e-mail do operador NotPetya. Mesmo que as vítimas possam entrar em contato com o autor NotPetya, elas ainda não têm chance de recuperar seus arquivos.

O arquivo MFT é irrecuperável.

Agradecemos ao Celso, colaborador amigo do seu micro seguro, pela referência e envio do texto desta notícia.

Fonte: Kaspersky

Europa sob novo ataque Ransomware

Enquanto o WannaCry não morreu, variantes do ransomware começaram a infectar computadores na Europa e na Europa Oriental. Dispositivos de bancos, companhias e fornecedoras de energia da Rússia, Ucrânia, Índia, França, Espanha e Reino Unido foram desligados após a invasão do malware sequestrador que cobra US$ 300 em bitcoins pela liberação de arquivos.

Dois novos ransomwares baseados no WannaCry começaram a sequestrar computadores nesta terça-feira

Se você quiser refrescar a memória, em maio deste ano, o ransomware WannaCrypt (WannaCry) afetou mais de 300 mil computadores em mais de 150 países no mundo. O Brasil foi um dos países afetados, com companhias e instituições governamentais desligando computadores e servidores durante alguns dias — você pode clicar aqui para saber mais.

Caso você não saiba, o ransomware é um tipo de malware que, quando entra em um sistema, restringe o acesso e cobra um valor “resgate” para que o usuário possa voltar a acessá-lo. Por exemplo, ao clicar ou baixar um arquivo malicioso, o computador de uma companhia é completamente compactado via criptografia. As companhias praticamente não têm como pegar novamente esses arquivos, a não ser que pague o valor estabelecido pelo invasor — normalmente em bitcoin. Um modus operandi sofisticado, refinado, que não deixa traços, marcas ou trilhas de quem fez isso.

Ransomware Petya e Cryptolocker

As novas variantes do WannaCry que começaram a atacar vários países pela Europa se chamam Petya e Cryptolocker. Os alvos são os mesmos do WannaCrypt: bancos, companhias grandes e pequenas, instituições governamentais e estabelecimentos de fornecimento de energia para cidades.

De acordo com fontes, especificamente o Petya, ele se utiliza da mesma vulnerabilidade Windows SMBv1, que já havia sido explorada em maio. O Petya age reinicializando o PC de vítimas e encriptando o disco rígido de dispositivos (MFT), além de deixar o master boot record (MBR) inoperante. Segundo um relato do VirusTotal, apenas 13 de 61 softwares de antivírus acusam a infecção pelo Petya.

A Ucrânia acredita que a Rússia está por trás do ataque

Até o momento, os nomes de instituições afetadas pelo Petya e Cryptolocker são: Rosneft (gigante petroleira da Rússia), Kyivenergo e Ukrenergo (fornecedoras de energia ucranianas), Banco Nacional da Ucrânia, a agência de publicidade WPP (Reino Unido), AP Moller-Maersk (companhia dinamarquesa de logística), Saint Gobain (França), Mondelez (Espanha) e várias empresas privadas nos outros países já citados.

O conselheiro ucraniano Anton Gerashchenko comentou que “o objetivo final do ataque cibernético é tentar desestabilizar” o país. Além disso, que esse ataque parece ter saído da Rússia, com quem a Ucrânia possui problemas políticos.

Na luta contra o ransomware

A recomendação do TecMundo é: não pague ransomware. O mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, um bom antivírus são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado. Existem ferramentas e especialistas em segurança para lhe ajudar.

Agradecemos ao Igor, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

WannaCry muda rotina de equipes de TI

Duas semanas após o susto com o WannaCry, que sequestrou dados de 300 mil computadores em 150 países, técnicos de empresas e órgãos do governo brasileiro contabilizam prejuízos e fazem mudanças para prevenir novas – e até mais graves – infecções

Era quase hora do almoço em Brasília quando chegou a notícia: uma das agências do Instituto Nacional de Seguro Social (INSS) em Barbacena (MG) tinha sido infectada por um ataque cibernético. Ao ligar a máquina, um aviso em tela vermelha indicava que o computador havia sido invadido e pedia um depósito em moeda virtual Bitcoin para liberar o sistema. A ordem de Ilton Fernandes Filho, coordenador geral de tecnologia do INSS, foi direta: aquela máquina deveria ser isolada. O trabalho nem tinha começado quando “pipocaram” em Brasília ligações de outras agências reportando o mesmo problema.

Fernandes tomou uma medida drástica: desligou todos os computadores da rede do INSS – o que interromperia o atendimento na tarde daquela sexta-feira, 12 de maio. Para isso, porém, era preciso ativar o comitê de crise da instituição – e muitos de seus membros estavam almoçando. O sistema do INSS só parou de fato às 14h – o que provocou uma redução de 80% nos atendimentos naquela tarde, na comparação com a média de atendimentos realizados no período em todo o País.

Não foi só o INSS que teve máquinas afetadas: empresas como a Telefônica, na Espanha, a Renault, na França, e o sistema de saúde pública no Reino Unido também foram infectados e paralisaram suas atividades. O culpado tinha um nome esquisito: WannaCry, um vírus de computador capaz de sequestrar os dados das máquinas e se espalhar pela internet. Ao todo, mais de 300 mil computadores em todo o mundo foram afetados pelo WannaCry – cerca de 2 mil deles estavam na rede do INSS. “Felizmente, os dados da rede da Previdência não foram afetados. Apenas foi perdido o que estava na área de trabalho de cada um desses computadores. Eram arquivos dos funcionários que utilizam aquelas máquinas”, explica Fernandes.

Inédito

Para especialistas em segurança, o WannaCry foi um ataque sem precedentes. “É o primeiro ransomworm da história, misturando dois tipos de ataques bem conhecidos: os ransomwares, invasões que criptografam os dados de uma máquina e pedem um resgate para liberá-los, e os worms, vírus que se propagam através de uma rede e exploram uma vulnerabilidade”, explica Fábio Assolini, analista de segurança da Kaspersky. Normalmente, osransomwares são direcionados a uma rede ou sistema, enquanto os worms se propagam pela rede sem direção específica.

Nascido no fim dos anos 1980, o sequestro de dados se tornou um tipo de ataque virtual comum nos últimos cinco anos. Isso se deve a dois fatores: o primeiro é o surgimento da moeda virtual Bitcoin, que tornou possível o pagamento dos resgate sem rastreamento.

“Além disso, a quantidade cada vez maior de dados armazenados em equipamentos e o alto valor desses dados tornou o ransomware comum”, explica Miriam von Zuben, analista do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), ligado ao Comitê Gestor da Internet no Brasil (CGI.br).

Para o professor Marcos Simplício, da Escola Politécnica da Universidade de São Paulo (USP), o ransomware mostra um amadurecimento do cibercrime. “No início, as vulnerabilidades eram exploradas por hackers apenas por orgulho, como forma de demonstrar seu poder de ataque. Eram vírus que só atrapalhavam as pessoas, impedindo um computador de ser ligado, por exemplo”, explica ele. “A partir do início dos anos 2000, as invasões também tornaram-se um negócio.”

Ensaio

Interesse comercial até havia nos criadores do WannaCry – um dos avisos da famigerada tela vermelha era algo na linha “pague US$ 300 em até três dias para ter de volta seus arquivos amados”. Depois desse prazo, o preço dobrava. No entanto, os hackers só faturaram cerca de US$ 110 mil com o golpe, valor considerado baixo pelos analistas de segurança para a proporção dos ataques.

Para Assolini, o baixo faturamento é um indício de que o WannaCry foi um ensaio para outros ataques maiores. Segundo o analista, o ransomware precisaria usar uma carteira de bitcoins específica para cada máquina infectada. “No WannaCry, foram usadas apenas três carteiras de bitcoins. O criminoso não tinha como saber qual máquina resgatar”, explica.

Além disso, o ataque cibernético tinha um sistema de autodestruição muito simples, que foi encontrado rapidamente por pesquisadores. Outro fator importante é o fato de que o WannaCry utilizou uma vulnerabilidade divulgada em abril e já corrigida pela Microsoft. As máquinas afetadas foram aquelas que usam sistemas operacionais antigos – como o Windows XP ou Windows 7 –, que desativaram as atualizações. “Ataques semelhantes com certeza vão aparecer no futuro. Sistemas operacionais sempre têm falhas”, avalia Simplício.

Proteção

Desligar computadores, como fez o INSS, é uma solução apenas provisória. “É uma medida apenas para ganhar tempo. Se a máquina estiver vulnerável, quando ela for ligada ela será atacada”, diz Assolini. Além disso, nem sempre as máquinas podem ser totalmente desligadas.

A equipe do Hospital Sírio-Libanês, em São Paulo, não tinha essa opção. “A Renault fechou as fábricas e mandou funcionários para casa. Nós não podemos fazer isso por causa dos pacientes”, diz Fernando Torelly, diretor executivo da instituição, que teve alguns de seus computadores infectados em uma das unidades do hospital. A saída foi isolar as máquinas infectadas e operar com apenas 40% dos computadores, além de seguir orientações da Microsoft para eliminar o risco para as 3,4 mil máquinas.

Após superar o transtorno, o Sírio-Libanês está usando o WannaCry como lição para reforçar seus sistemas de segurança. “Precisamos nos preparar”, explica Torelly. Agora, o hospital não contrata mais fornecedores de equipamentos que usam Windows XP. “A segurança da informação vai se tornar um elemento cada vez mais importante para a saúde”, diz Torelly.

Já o INSS, por sua vez, trabalha na recuperação das máquinas infectadas: depois do susto há duas semanas, os equipamentos foram recolhidos, enviados a Brasília e estão sendo recuperados pela equipe de Fernandes. “É difícil fazer a gestão de máquinas em todo o Brasil, às vezes a gente não consegue manter tudo atualizado. Estamos cuidando disso agora.”

Fonte: Estadão

Novo ciberataque em curso

Após o ataque de sexta-feira, especialistas descobriram um novo ataque vinculado ao vírus Wannacry, chamado Adylkuzz

Um novo ciberataque em grande escala para roubar moeda virtual afetava centenas de milhares de computadores em todo o mundo nesta quarta-feira, de acordo com especialistas em segurança cibernética.

Após o ataque de sexta-feira, especialistas descobriram um novo ataque vinculado ao vírus Wannacry, chamado Adylkuzz.

“Utiliza com mais discrição e para diferentes propósitos ferramentas de pirataria recentemente reveladas pela NSA e a vulnerabilidade agora corrigida pela Microsoft”, afirmou o pesquisador Nicolas Godier, especialista em segurança cibernética da Proofpoint.

“Ainda desconhecemos o alcance, mas centenas de milhares de computadores podem ter sido infectados”, disse à AFP Robert Holmes, da Proofpoint, o que indica que o ataque é “muito maior” que o WannaCry.

Concretamente, este ‘malware’ se instala em equipamentos acessíveis através da mesma vulnerabilidade do Windows utilizada pelo WannaCry, uma falha já detectada pela NSA (Agência de Segurança Nacional dos Estados Unidos), que vazou na internet em abril.

Este malware cria, de forma invisível, unidades de uma moeda virtual não localizável chamada Monero, comparável ao Bitcoin. Os dados que permitem utilizar este dinheiro são extraídos e enviados a endereços criptografados.

Para os usuários, “os sintomas do ataque incluem sobretudo uma performance mais lenta do aparelho”, afirma a Proofpoint em um blog.

A empresa detectou alguns computadores que pagaram o equivalente a milhares de dólares sem o conhecimento de seus usuários.

De acordo com Robert Holmes, “já aconteceram ataques deste tipo, com programas que criam moeda criptográfica, mas nunca nesta escala”.

O WannaCry afetou mais de 300.000 computadores em 150 países, de acordo com Tom Bossert, conselheiro de Segurança Interna do presidente dos Estados Unidos, Donald Trump.

Fonte: Exame

WannaCry já tem nova e mais poderosa versão

O ransomware WannaCrypt, também conhecido como WannaCry, assolou o mundo na sexta-feira (12). Foi noticiado que o especialista de segurança Marcus Hutchins (@malwaretech), ao comprar um domínio na internet, interrompeu as atividades do malware. Contudo, o ransomware apenas desacelerou o número de novas infecções e continua atingindo novas máquinas. Além disso, uma segunda versão do WannaCry está dobrando a esquina.

O WannaCry 2.0 já está rodando e procurando novas máquinas para infectar

Caso você não saiba, o jovem Hutchins comprou um domínio ligado ao WannaCry e ativou um “Kill Switch”. Acreditava-se que isso tinha interrompido as atividades do ransomware. Contudo, algumas horas após a propagação dessa informação, diversos especialistas de segurança já encontraram novas amostras do WannaCry, com domínios diferentes e sem qualquer função “Kill Switch”.

A melhor maneira para se proteger do ransomware, até o momento, é atualizar com urgência o seu sistema operacional — principalmente se ele for um Windows XP ou Server 2003. A atualização é feita de maneira gratuita via Windows Update, e a Microsoft já liberou patches de segurança para blindar computadores.

WannaCry 2.0

Ainda não se sabe quem está por trás do ransomware WannaCrypt. Mesmo assim, o pesquisador de segurança Matthieu Suiche confirmou a existência de uma nova variante do malware que funciona em um domínio diferente. Para tentar desacelerar a variante, Suiche também registrou o domínio, como o jovem Hutchins — este é domínio: “hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/”.

Hoje, ainda há maneiras de ser infectado pelo ransomware original. Como? Caso você receba o arquivo via phishing no email, por um torrent malicioso ou outros vetores, como um protocolo SMB.

Atualize o seu computador, aumente as suas defesas, execute um antivírus decente e — pelo amor de Deus — tenha um backup seguro

Costin Raiu, diretor de pesquisa global do Kaspersky Labs, comentou que a própria equipe de pesquisadores encontrou novas versões do WannaCry prontas para sequestrar novas máquinas: “Eu posso confirmar que encontramos versões sem os domínios Kill Switch”, alertou Raiu ao The Hackers News.

Acredita-se que o WannaCry 2.0 não foi criado pelos cibercriminosos originais, mas sim por hackers black hat que aproveitaram o exploit e desenvolveram novas maneiras de infectar computadores. Além disso, é esperado que o ransomware atualizado ainda infecte milhares de máquinas — até o momento, mais de 237 mil foram sequestradas em mais de 100 países.

Com as novas ameaças por aí e praticamente certas, o especialista em cibersegurança Graham Cluley comentou que a mensagem, agora, é bem simples: “Atualize o seu computador, aumente as suas defesas, execute um antivírus decente e — pelo amor de Deus — tenha um backup seguro”.

Fonte: Tecmundo