Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

Archive

Category: Segurança

A comunidade internacional de hackers éticos, através de seus fóruns de discussão, está voltando sua atenção para alguns aspectos contraditórios ou “amadores” do malware WannaCry, que em três dias de ação se tornou um dos mais ruidosos ataques à base de computadores Windows ao redor do mundo.

Segundo Thiago Zaninotti, CTO da empresa de segurança Aker N-Stalker, o ponto mais contraditório deste malware está em sua lucratividade irrisória (menos de US$ 60 mil dólares já contabilizados), diante de um gigantesco poder de contaminação e alto potencial de dano financeiro e operacional para 200 mil empresas e órgãos de governo em mais de 150 países.

O WannaCry, segundo ele, apresenta deficiências claras de engenharia de código e não dispõe de um sistema eficiente de resgate para os bitcoins exigidos da vítima. “Embora quase todo o ataque aconteça por automação, a engenharia reversa do malware, realizada por hackers éticos, demonstrou que a identificação dos pagamentos por parte das vítimas não está corretamente planificada como funcionalidade do código.

Com isto, para ter sucesso financeiro, o WannaCry exigiria uma grande aplicação de mão de obra humana para celebrar o resgate e a devolução dos códigos reféns, através da entrega de chaves criptográficas a cada um dos infectados”, afirma Zaninotti.

Na avaliação de Rodrigo Fragola, CEO da Aker N-Stalker e diretor de segurança de entidades empresariais da indústria de software, se o objetivo do WannaCry não for exatamente a conquista de um butim polpudo, a outra explicação plausível para o seu lançamento na rede pode estar relacionada a uma ação de propaganda ou de ‘guerra de dissuasão’, como vem sendo aventado pela mídia.

“De fato, países como Coreia do Norte, Rússia, China e Irã, estão constantemente envolvidos em escaramuças da Guerra Fria Cibernética contra os EUA e a Europa Ocidental, e qualquer uma dessas nações, inclusive os próprios EUA, poderiam estar usando o WannaCry como um exercício militar ostensivo”, afirma Fragola.

Numa aposta mais direta que a de Rodrigo Fragola, outros especialistas da área vêm apontando o governo de Pyongyang – através de seus mercenários ligados ao cibercrime – como a mais provável origem do WannaCry.

Este é o caso do pesquisador do Google, Neel Mehta, e de hackers da Simatec, entre outros. Segundo estas análises, a arquitetura de software e o modus operandi do WannaCry são extremamente semelhantes aos do artefato empregado por grupos da Coreia do norte em um ataque de massa à Sony Pictures, em 2015. Mas nada disto está cabalmente provado.

“O fato de o recente ataque fazer uso de um dispostivo criado – e abandonado – pelo Serviço Secreto dos EUA para atacar o principal produto de uma das empresas âncoras da economia norte-americana (a Microsoft e seu Windows), reveste o WannaCry de um simbolismo de guerra difícil de ser posto de lado”, comenta o CEO.

Vulnerabilidade Hospitalar é Preocupante

O WannaCry é um malware oportunista que se vale de uma vulnerabilidade banal, já conhecida há meses e cuja neutralização só depende da instalação de um corretor maciçamente divulgado pela Microsoft em março de 2017.

Ainda assim, sua capacidade de propagação e de imposição de dano deve servir como um alerta para o alto nível de vulnerabilidade da sociedade conectada como um todo e para o grande despreparo dos usuários em relação ao risco em que está exposto.

De acordo com Rodrigo Fragola, o grande número de hospitais e plantas de manufatura afetados pelo novo ransonware se deve ao fato de que parte dos equipamentos usados nesses ambientes tem a aparência de máquinas de serviços específicos, embora sejam, de fato, computadores PC que não são tratados como tais.

“Num ambiente hospitalar é comum haver máquinas de cabeceira de UTI que estão há vários anos em funcionamento e que ninguém jamais se lembra de que aquele é um aparelho Windows que precisa de atualização de segurança”, comenta o executivo.

O mesmo, segundo ele, vale para máquinas de PDV ou de ambientes de produção em chão de fábrica, em que sistemas de controle numérico mascaram a existência de um computador, não raramente, equipado com velhas versões de Windows que não têm mais suporte da Microsoft.

“Ambientes como hospitais e fábricas estão mais atrasados que escritórios empresariais em termos de segurança e necessitam correr para tirar o prejuízo, uma vez que a estratégia Ransonware (sequestro de dados) começam a enxergar estes nichos como alvos preferenciais”, completa Thiago Zaninotti.

Na visão de Rodrigo Fragola, o episódio do WannaCry é mais um alerta contra a negligência das empresas e governos em relação à segurança e mostra uma realidade que humilha a crença segundo a qual a segurança dos sistemas depende de especialistas de alto custo e inviáveis para as pequenas e médias empresas.

“A segurança cibernética e de TI tem de começar a ser tratada com o mesmo nível de preocupação da segurança física, uma vez que vai se perdendo totalmente a barreira entre a sociedade virtual e a de carne e osso. Com isto, a prevenção e proteção contra os malwares não podem mais ser obrigação do SCO ou do hacker interno. Ela tem que estar na cabeça dos gestores de RH e em seu dia a dia com os funcionários. Tem de envolver o diretor financeiro e o chefe de produção. E cada operador de caixa, cada enfermeiro, cada garçom, precisa estar consciente de que é necessário alertar a chefia diante de qualquer sinal de anomalia que possa indicar um ataque”, conclui ele.

A Kaspersky Lab publicou os resultados de sua investigação sobre as atividades do Hajime – um misterioso malware em expansão que afeta a Internet das Coisas (IoT), criando uma enorme botnet peer-to-peer. A botnet está se ampliando muito, infectando vários dispositivos no mundo inteiro. Até o momento, a rede inclui quase 300 mil dispositivos comprometidos, prontos para trabalhar em conjunto executando as instruções do criador do malware sem conhecimento das vítimas. Porém, ainda não se conhece o objetivo real do Hajime.

O Hajime, que significa ‘início’ em japonês, apresentou seus primeiros sinais de atividade em outubro de 2016. Desde então, tem evoluído, desenvolvendo novas técnicas de propagação. O malware está estabelecendo uma enorme botnet peer-to-peer – um grupo descentralizado de computadores que realiza ataques DDoS ou de spam discretamente.

No entanto, ele não inclui um código ou uma funcionalidade de ataque, somente um módulo de propagação. O Hajime, uma família de malwares avançados e ocultos, usa diversas técnicas – principalmente ataques de força bruta sobre senhas de dispositivos – para infectar os dispositivos e executar vários procedimentos de modo a se esconder da vítima afetada. Assim, o dispositivo torna-se parte de uma botnet.

O Hajime não ataca um tipo de dispositivo exclusivo, mas qualquer dispositivo conectado à Internet. No entanto, os autores do malware focam suas atividades em alguns dispositivos. Ao que se constatou, a maioria dos alvos é formada por gravadores de vídeo digital, seguidos de webcams e roteadores.

Porém, de acordo com os pesquisadores da Kaspersky Lab, o Hajime evita determinadas redes, como as da General Electric, da Hewlett-Packard, do serviço postal dos EUA, do Departamento de Defesa dos EUA e várias redes privadas.

No momento da pesquisa, as infecções vinham principalmente do Vietnã (mais de 20%), de Taiwan (quase 13%) e do Brasil (cerca de 9%).

“A questão mais intrigante sobre o Hajime é sua finalidade. Embora a botnet esteja crescendo cada vez mais, ainda não sabemos qual é seu objetivo. Não conseguimos observar seus rastros em nenhum tipo de ataque ou outra atividade maliciosa. Contudo, recomendamos que os proprietários de dispositivos da IoT alterem suas senhas de maneira a dificultar ataques de força bruta e, se possível, atualizem seu firmware”, declarou Konstantin Zykov, Pesquisador Sênior em Segurança da Kaspersky Lab.

No total, durante o período da pesquisa, a Kaspersky Lab descobriu pelo menos 297.499 dispositivos exclusivos que compartilhavam a configuração do Hajime

No final de 2016, a equipe de especialistas da Kaspersky Lab encontrou uma nova variante de um ransomware desenvolvido por um grupo de criminosos brasileiros, o Trojan-Ransom.Win32.Xpan – que tem sido usado em ataques contra empresas e hospitais, cifrando arquivos por meio da extensão “.___xratteamLucked”. Mesmo assim, ainda é comum algumas das variantes da família XPan afetem usuários, principalmente no Brasil. Os criminosos estão instalando manualmente o ransomware e criptografando todos os arquivos que podem ser encontrados no sistema através de conexões RDP (protocolo de desktop remoto) fracamente protegidas pelos seus usuários.

Curiosamente, esta variante XPan não é necessariamente nova no ecossistema de malware. No entanto, os criminosos continuam infectando as vítimas, o que faz com que pesquisadores de segurança procurem amostras relacionadas ao crescente número de incidentes. Esta amostra pode ser considerado como o “pai” de outras variantes de ransomware XPan. Uma quantidade considerável de indicadores dentro do código-fonte descreve as origens precoces desta amostra.

“O autor ransomware deixou uma mensagem para Kaspersky Lab em outras versões e fez o mesmo neste. Com vestígios para o NMoreira “CrypterApp.cpp”, há uma conexão clara entre diferentes variantes nesta família de malware. “Os cibercriminosos brasileiros já se deram conta de que ataques de ransomware podem ser tão lucrativos quanto os que usam trojans bancários. Temos visto muitas novas famílias de ransomware sendo criadas por aqui – é uma tendência sem volta”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.

Embora muitas palavras em Português estejam presentes na análise inicial, houve um par que chamou a atenção dos analistas da Kaspersky Lab. Em primeiro lugar, o ransomware usa um arquivo em lotes que passará um parâmetro de linha de comando para um arquivo executável, este parâmetro é “eusoudejesus”. Os desenvolvedores tendem a deixar pequenas pistas de sua personalidade para trás em cada uma de suas criações, e nesta amostra não foi diferente.

Em segundo lugar, uma referência a uma celebridade brasileira é feita, embora indiretamente. “Computador da Xuxa” foi um brinquedo vendido no Brasil durante os anos 90, utilizado também como uma expressão popular para fazer alusão a computadores muito antigos com poder limitado.

“Muito bichado” equivale a encontrar um monte de problemas em sistemas como este, significando que o ambiente em que o XPan está executando não está agindo corretamente e a execução tem bastante problemas.

Por fim, foi encontrado um recado exigindo que a vítima envie um e-mail para a conta ‘one@proxy.tg’. Considerando que a extensão para todos os arquivos criptografados nesta variante é “.one”, parece uma convenção de nomenclatura bastante direta para as campanhas dos criminosos.

Após uma inspeção mais detalhada, foi descoberto que esse exemplo é quase idêntico a outra versão do Xpan que costumava ser distribuída em novembro de 2016 e usou a extensão “.__ AiraCropEncrypted!”. Cada pedaço do código executável permanece o mesmo, o que é bastante surpreendente, porque desde aquela época existiam várias versões mais recentes deste malware com um algoritmo de criptografia atualizado. Ambas as amostras têm o mesmo PE timestamp que data 31 de outubro de 2016.

A única diferença entre os dois é o bloco de configuração que contém as seguintes informações:
– Lista de extensões de arquivos alvo;
– Notas de resgate;
– Comandos para executar antes e depois da criptografia;
– A chave RSA pública dos criminosos.

O algoritmo de criptografia de arquivos também permanece o mesmo. Para cada arquivo de destino, o malware gera uma nova sequência aleatória de 255 bytes na string S (que contém a subcategoria “NMoreira”), transforma-a em uma chave de 256 bits usando a API CryptDeriveKey e procede a criptografar o arquivo usando AES-256 em CBC no com zero IV. A string S será criptografada usando a chave pública RSA do criminoso do bloco de configuração e armazenada no início do arquivo criptografado.

De acordo com uma das vítimas que procurou a Kaspersky Lab, os criminosos estavam pedindo 0,3 bitcoin para fornecer a chave de recuperação, usando a mesma abordagem que eles fizeram antes: o usuário envia uma mensagem para uma caixa de correio com o seu ID exclusivo e espera pacientemente por mais instruções.

As vítimas até agora são pequenas e médias empresas no Brasil: desde uma clínica de dentista até uma autoescola, demonstrando mais uma vez que o ransomware não faz distinções e todos estão em risco. Enquanto houver vítimas, é preciso auxiliá-los e fornecer ferramentas de descriptografia sempre que possível, não importa a família do ransomware ou quando ele foi criado.

Vítimas: podemos ajudar

Desta vez a sorte está do lado das vítimas! Após uma investigação completa e engenharia reversa da amostra da versão “.one” do Xpan, os analistas da Kaspersky Lab identificaram que os criminosos usaram uma implementação de algoritmo criptográfico vulnerável. O que permitiu quebrar a criptografia como com a versão Xpan anteriormente descrita.

Com isso, a Kaspersky Lab ajudou, com sucesso, uma autoescola e uma clínica de dentista a recuperar seus arquivos de forma gratuita e, como de costume, as vítimas foram alertadas a não pagarem o resgate e entrarem em contato com o suporte técnico da Kaspersky Lab para obter assistência.

Alguns cibercriminosos brasileiros estão concentrando seus esforços na criação de famílias de ransomware locais e novas, atacando pequenas empresas e usuários desprotegidos. Isto pode significar um próximo passo na luta contra o ransomware: passar de ataques em escala global a um cenário mais localizado, em que os cibercriminosos locais criarão novas famílias a partir do zero, em seu próprio idioma, e recorrendo ao Raas (Ransomware-as-a-service) como forma de monetizar seus ataques.