Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

Archive

Category: Segurança

No final de 2016, a equipe de especialistas da Kaspersky Lab encontrou uma nova variante de um ransomware desenvolvido por um grupo de criminosos brasileiros, o Trojan-Ransom.Win32.Xpan – que tem sido usado em ataques contra empresas e hospitais, cifrando arquivos por meio da extensão “.___xratteamLucked”. Mesmo assim, ainda é comum algumas das variantes da família XPan afetem usuários, principalmente no Brasil. Os criminosos estão instalando manualmente o ransomware e criptografando todos os arquivos que podem ser encontrados no sistema através de conexões RDP (protocolo de desktop remoto) fracamente protegidas pelos seus usuários.

Curiosamente, esta variante XPan não é necessariamente nova no ecossistema de malware. No entanto, os criminosos continuam infectando as vítimas, o que faz com que pesquisadores de segurança procurem amostras relacionadas ao crescente número de incidentes. Esta amostra pode ser considerado como o “pai” de outras variantes de ransomware XPan. Uma quantidade considerável de indicadores dentro do código-fonte descreve as origens precoces desta amostra.

“O autor ransomware deixou uma mensagem para Kaspersky Lab em outras versões e fez o mesmo neste. Com vestígios para o NMoreira “CrypterApp.cpp”, há uma conexão clara entre diferentes variantes nesta família de malware. “Os cibercriminosos brasileiros já se deram conta de que ataques de ransomware podem ser tão lucrativos quanto os que usam trojans bancários. Temos visto muitas novas famílias de ransomware sendo criadas por aqui – é uma tendência sem volta”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.

Embora muitas palavras em Português estejam presentes na análise inicial, houve um par que chamou a atenção dos analistas da Kaspersky Lab. Em primeiro lugar, o ransomware usa um arquivo em lotes que passará um parâmetro de linha de comando para um arquivo executável, este parâmetro é “eusoudejesus”. Os desenvolvedores tendem a deixar pequenas pistas de sua personalidade para trás em cada uma de suas criações, e nesta amostra não foi diferente.

Em segundo lugar, uma referência a uma celebridade brasileira é feita, embora indiretamente. “Computador da Xuxa” foi um brinquedo vendido no Brasil durante os anos 90, utilizado também como uma expressão popular para fazer alusão a computadores muito antigos com poder limitado.

“Muito bichado” equivale a encontrar um monte de problemas em sistemas como este, significando que o ambiente em que o XPan está executando não está agindo corretamente e a execução tem bastante problemas.

Por fim, foi encontrado um recado exigindo que a vítima envie um e-mail para a conta ‘one@proxy.tg’. Considerando que a extensão para todos os arquivos criptografados nesta variante é “.one”, parece uma convenção de nomenclatura bastante direta para as campanhas dos criminosos.

Após uma inspeção mais detalhada, foi descoberto que esse exemplo é quase idêntico a outra versão do Xpan que costumava ser distribuída em novembro de 2016 e usou a extensão “.__ AiraCropEncrypted!”. Cada pedaço do código executável permanece o mesmo, o que é bastante surpreendente, porque desde aquela época existiam várias versões mais recentes deste malware com um algoritmo de criptografia atualizado. Ambas as amostras têm o mesmo PE timestamp que data 31 de outubro de 2016.

A única diferença entre os dois é o bloco de configuração que contém as seguintes informações:
– Lista de extensões de arquivos alvo;
– Notas de resgate;
– Comandos para executar antes e depois da criptografia;
– A chave RSA pública dos criminosos.

O algoritmo de criptografia de arquivos também permanece o mesmo. Para cada arquivo de destino, o malware gera uma nova sequência aleatória de 255 bytes na string S (que contém a subcategoria “NMoreira”), transforma-a em uma chave de 256 bits usando a API CryptDeriveKey e procede a criptografar o arquivo usando AES-256 em CBC no com zero IV. A string S será criptografada usando a chave pública RSA do criminoso do bloco de configuração e armazenada no início do arquivo criptografado.

De acordo com uma das vítimas que procurou a Kaspersky Lab, os criminosos estavam pedindo 0,3 bitcoin para fornecer a chave de recuperação, usando a mesma abordagem que eles fizeram antes: o usuário envia uma mensagem para uma caixa de correio com o seu ID exclusivo e espera pacientemente por mais instruções.

As vítimas até agora são pequenas e médias empresas no Brasil: desde uma clínica de dentista até uma autoescola, demonstrando mais uma vez que o ransomware não faz distinções e todos estão em risco. Enquanto houver vítimas, é preciso auxiliá-los e fornecer ferramentas de descriptografia sempre que possível, não importa a família do ransomware ou quando ele foi criado.

Vítimas: podemos ajudar

Desta vez a sorte está do lado das vítimas! Após uma investigação completa e engenharia reversa da amostra da versão “.one” do Xpan, os analistas da Kaspersky Lab identificaram que os criminosos usaram uma implementação de algoritmo criptográfico vulnerável. O que permitiu quebrar a criptografia como com a versão Xpan anteriormente descrita.

Com isso, a Kaspersky Lab ajudou, com sucesso, uma autoescola e uma clínica de dentista a recuperar seus arquivos de forma gratuita e, como de costume, as vítimas foram alertadas a não pagarem o resgate e entrarem em contato com o suporte técnico da Kaspersky Lab para obter assistência.

Alguns cibercriminosos brasileiros estão concentrando seus esforços na criação de famílias de ransomware locais e novas, atacando pequenas empresas e usuários desprotegidos. Isto pode significar um próximo passo na luta contra o ransomware: passar de ataques em escala global a um cenário mais localizado, em que os cibercriminosos locais criarão novas famílias a partir do zero, em seu próprio idioma, e recorrendo ao Raas (Ransomware-as-a-service) como forma de monetizar seus ataques.

A segurança na internet é um dos fatores mais importantes quando levamos em conta o quanto o mundo está conectado. Usuários estão sempre com novas ferramentas sejam e-mails, redes sociais ou espaços de armazenamento em nuvem para guardar arquivos pessoais e profissionais. Uma pesquisa global da LastPass, ferramenta mais popular para o gerenciamento de senhas do mundo da LogMeIn, afirma que 70% dos usuários não estão utilizando a autenticação de dois fatores em suas senhas. O que não é de se espantar visto que, ainda, de acordo com a pesquisa, 60% dos entrevistados nunca ouviram falar da tecnologia.

Mas o que é a dupla autenticação? As etapas garantem uma segunda verificação de identidade do usuário para uma maior segurança no acesso a sites. Normalmente, é solicitado apenas seu login e senha para a identificação, enquanto com a autenticação dupla é necessária uma segunda forma de verificação além desta. Geralmente, esta fase é realizada através de um número, que pode ser recebido por SMS, gerado por um aplicativo, ou com a utilização de um dispositivo gerador de números “tokens”. Porém, existem diversas outras formas de segunda identificação, como receber uma ligação, um clique na tela do celular via “push” ou identificação biométrica, como a solicitação da impressão digital. Qualquer pessoa pode implementar a dupla autenticação em suas contas gratuitamente com a utilização de aplicativos como o LastPass Authenticator, ferramenta bastante popular que permite implementar dupla autenticação em acessos.
De acordo com Gustavo Boyde, Gerente de Marketing para América Latina da LogMeIn, o mesmo App permite a dupla autenticação para os mais diferentes sites, incluindo Facebook, Google, Amazon e Dropbox. “O Facebook atualmente tem um número de dados pessoais muito extenso, o que facilita a propensão de pessoas mal-intencionadas a conseguir esses dados e, neste requisito, o uso do aplicativo para dupla autenticação é uma ótima opção. A ferramenta é como se fosse um token universal, porém em um aplicativo no celular e que pode ser usado em diversos sites ao mesmo tempo”, comenta.

A Abrahosting (Associação Brasileira das Empresas de Infraestrutura e Hospedagem na Internet) detectou um crescimento espantoso do tráfego de spam, que triplicou em um período de dois anos no Brasil. O fenômeno é preocupante principalmente por acarretar maiores riscos de segurança e mais custos improdutivos de manutenção e ampliação da infraestrutura de serviços dessas empresas.

De acordo com a entidade, a taxa atual de Spam no fluxo de mensagens que chegam diariamente nas redes dos seus associados atinge a média de 90% dos e-mails, os quais são prontamente bloqueados antes mesmo de chegarem aos níveis internos da estrutura.

Além disso, dos 10% de mensagens que recebem licença para entrar nos servidores das empresas de hosting do País, apenas 50% (ou 5% do total) são entregues ao endereço do usuário final com status de mensagem lícita. Os outros 5%, por sua vez, mesmo sendo encaminhados ao destino, recebem do provedor, uma espécie de “carimbo” de suspeição e, quase sempre, acabam caindo na caixa de “lixo eletrônico” do usuário.

De acordo com Vicente Neto, presidente da Abrahosting, a taxa de mensagens bloqueadas por serem identificadas como Spam é ainda superior em provedores de hospedagem que atuam em nichos de mercado corporativo e oferecem serviços com níveis de restrição mais rigorosos. “Em provedores desse tipo, a taxa de rejeição na entrada pode atingir 97% e o volume efetivamente entregue (sem o selo suspeição) pode ficar em torno de 1%”, afirma o executivo.

No levantamento da Abrahosting foram incluídos empresas associadas com bases gigantescas de caixas postais de email – como é o caso da Locaweb – que diariamente bloqueia cerca de 320 milhões de mensagens – e prestadores de infraestrutura em nuvem, com serviços para missão crítica, tais como Loophost, IP Hotel, Digirati, CentralServer e Eveo.

Mais de 250 Domínios em Nome de um só CPF

O aumento expressivo de Spam apontado pela Abrahosting é ocasionado por uma série de fatores, como a constante expansão da rede global das múltiplas formas de conexão, que permitem o envio e a abertura de email sem limitação de plataforma.

“Além disso, há uma espécie de ‘efeito Tostines’, que é a existência de gigantescos exércitos de máquinas zumbis que são escravizadas por vírus para a propagação de Spam, sendo que este próprio Spam ocasiona a proliferação de novos e novos zumbis disparadores de e-mail malicioso a cada instante”, afirma Vicente Neto.

De acordo com a Abrahosting, o principal fator de aumento do Spam no Brasil não provém de emissores externos, mas de centenas de provedores internacionais que se multiplicaram nos últimos anos e que chegam a cobrar até 50 centavos de dólar para a abertura de um domínio.

“Enquanto não houver uma diretiva internacional para coibir a banalização de registros (muitos deles anônimos ou sem uma personalidade jurídica comprovada), não haverá contenção do Spam”, comenta o presidente da Abrahosting.

No que se refere ao Spam produzido em solo brasileiro, um dos fatores de agravamento é o alto nível de informalidade e pouco profissionalismo por parte de inúmeras empresas de e-mail marketing, que nem sempre se utilizam de práticas recomendáveis.

Para o advogado Adriano Mendes, do escritório Assis & Mendes, que assessora a Abrahosting, do lado dos provedores já existe um esforço concreto das empresas idôneas do setor para ajudar o nicho de email marketing a implementar práticas lícitas e aceitáveis para o envio de email em regime de massa. “Mas ainda é necessário formalizar uma autorregulação que seja implementada por todos os prestadores de hosting e que seja observada em comum acordo com os emissores de email marketing”, afirma Mendes.

Na avaliação de muitos provedores, as autoridades brasileiras de registro de domínio deveriam também repensar o nível de liberalidade para a criação de endereços IP que, muitas vezes, são feitos a partir de informação fraudulenta ou pouco consistente.

Além disso, os provedores se queixam de que não há um limite razoável para o número de registros de domínio em nome de um único CNPJ ou CPF. Segundo Luis Carlos dos Anjos, Gerente de Marketing Institucional da Locaweb, a sua área de segurança descobriu que cerca de 200 domínios fortemente emissores de Spam estavam registrados no Brasil em nome de uma única empresa. Na IP Hotel, relata seu diretor, Gustavo Morgado, um único CPF foi identificado como proprietário de 250 domínios que haviam sido colocados na listagem negra da empresa.

Lista Branca para o Email

A enorme avalanche de Spam e as consequentes medidas de segurança a que os provedores de hosting se obrigam acabam por ocasionar certos efeitos indesejáveis. Um deles é o bloqueio acidental de remetentes lícitos de e-mail cujas características (ou conteúdos recorrentes das mensagens) confundem os bloqueadores das empresas que os classificam como Spam.

Este tipo de “falso positivo”, explica Vicente Neto, causa problemas para o usuário e representa um grande ônus para as áreas de suporte das empresas provedoras. “Só para atender o cliente e alterar o status de um remetente bloqueado, nossos associados gastam, em média, 20 minutos de hora-homem”, comenta Vicente Neto.

Preocupada com a necessidade de ao menos mitigar o problema, a Abrahosting vai iniciar uma campanha para estimular os seus associados a levar conteúdo educativo para usuários finais de email aprenderem a denunciar mensagens de Spam e a marcarem seus remetentes através de comando de bloqueio.

Outra medida em discussão na Abrahosting é a criação de uma lista compartilhada de grandes remetentes de email de massa (principalmente redes varejistas, portais de e-commerce e agências digitais) que sejam praticantes de conduta lícita para permitir o acesso de suas mensagens às caixas postais de usuários, desde que com permissão expressa destes.

“Atualmente, cada provedor tem sua “white list”, mas nosso objetivo é criar uma referência nacional unificada e, para tanto, queremos chamar para discussão os maiores emissores desse tipo de mensagem”, completa o presidente da Abrahosting.