Ransomware, o “vírus” que a medicina não tem vacina.

A notícia do momento no meio tecnológico são os ransomwares. Eventos de tecnologia, mídias impressas e digitais do mundo inteiro estão noticiando ataques à empresas e usuários. O FBI, Agência Federal de Investigação Americana, estima um prejuízo de aproximadamente 209 milhões de dólares nos três primeiros meses de 2016, podendo chegar a 1 bilhão de dólares até o fim do ano, em extorsão à empresas e governos.

Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de "resgate" para que o acesso possa ser reestabelecido. Nos últimos anos, os ransomwares foram classificados em duas categorias: Cripto e Locker. Os Cripto-ransomwares atuam criptografando arquivos, pastas, HDs, etc. Já os Locker-ransomwares têm como finalidade bloquear dispositivos evitando o uso pelo usuário, essa variante mais comum em dispositivos com sistema operacional Android.

O que torna o ransomware mais difícil de ser detectado é o fato que esse tipo de malware utiliza de aplicações legítimas para criptografar os arquivos, tornando-o invisível para soluções de segurança baseadas apenas em assinatura.


A AMEAÇA

No ultimo mês, estivemos trabalhando em resposta a uma série de incidentes causados por ransomwares, no estado da Bahia, onde nos deparamos com uma nova ameaça, um novo ransomware que tem alvo empresas e principalmente instituições de saúde como hospitais e clínicas médicas.

Em parceria com a equipe da Kaspersky Labs no Brasil, identificamos o cripto-ransomware brasileiro Trojan-Ransom.Win32.Xpan, que criptografa arquivos e altera a extensão destes para “.___xratteamLucked”, em seguida, a vítima é informado(a) sobre o “sequestro” dos seus dados. A ferramenta utilizada para descriptografar os arquivos das vítimas já encontra-se disponível para download.



OS ATACANTES

O grupo responsável pelo ataque se identifica como “TeamXRat“ e “CorporacaoXRat“. Eles deixam em seu “pedido de resgate” uma mensagem bem sugestiva: “é necessário aumentar a segurança do ambiente em questão, contratando alguma empresa especializada em segurança.”.

Não creio que os criminosos responsáveis sejam ativistas do capitalismo querendo promover uma conscientização da necessidade de contratar empresas de segurança da informação. Creio que estamos lidando com pessoas que trabalham ou que possuem empresas de segurança da informação e querem ganhar dos dois lados. Casos como este ja foram publicados anteriormente. Informações: Poseidon Group.


MÉTODOS DE ATAQUE


Grande parte das infecções por ransomwares são realizadas manualmente, os ataques realizados pelo grupo TeamXRat não são diferentes. O grupo realiza ataques de força bruta à aplicação de acesso remoto, RDP (Remote Desktop Protocol) disponíveis para ambientes Microsoft Windows, que estão publicados diretamente na internet.

Uma vez dentro do servidor alvo, o atacante desabilita ou remove o antivírus instalado, se houver, e executam o ransomware criptografando os arquivos. Em alguns casos identificamos que o atacante cria usuários a fim de se manter no ambiente, sem chamar atenção e propagar o malware ao máximo de computadores possíveis.

Os ataques também são realizados utilizando vulnerabilidades conhecidas do protocolo RDP, MS15-067 e MS15-030, a servidores desatualizados. Essas vulnerabilidades permitem que o atacante execute comandos remotos a servidores vulneráveis.


MÉTODOS DE PROTEÇÃO


Listamos abaixo algumas práticas básicas para prevenir ou minimizar o risco de um ataque causado por ransomwares: • Não publicar serviço RDP (Remote Desktop Protocol) na internet, utilizar métodos mais seguros como VPN, para realizar acessos a ativos da rede interna.
• Utilizar uma política de senhas mais rígida, senhas complexas desestimulam a maioria dos atacantes.
• Mantenha seu ambiente computacional atualizado, servidores e estações.
• Utilize um bom endpoint, de preferência os que possua funcionalidade de análise de comportamento, complementando a detecção por assinatura.
• Utilize senha para desabilitar e/ou desinstalar o endpoint e o antivírus.
• Valide os backups dos seus arquivos e assegure que os mesmos estão inacessíveis ao ambiente em períodos que não estão sendo utilizados.

O Grupo de resposta a incidentes e pesquisa de ameaças cibernéticas, Network Secure – I2RG (Incident Response and Research Group), tem como objetivo a pesquisa de ameaças cibernéticas e desenvolvimento de métodos de resposta.

MD5: 34260178f9e3b2e769accdee56dac793

Referência:

Trojan-Ransom.Win32.Xpan: https://securelist.com/blog/research/76153/teamxrat-brazilian-cybercrime-meets-ransomware/

Poseidon Group: https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/


Comentários


Deixe um comentário