You are here

Ransomware veio para ficar – CIO

Estamos rastreando uma nova variante do vírus ransomware que surgiu no mundo todo, conhecida como Petya. Este vírus está afetando vários setores e organizações, incluindo infraestrutura básica, como energia, bancos e sistemas de transporte.

Esta é uma nova geração de ransomware desenvolvida para tirar proveito de explorações recentes. Esta versão atual visa as mesmas vulnerabilidades que foram exploradas no recente ataque do vírus WannaCry em maio deste ano. O vírus do ataque de hoje, conhecido como Petya, é um ransomworm. Nesta variante, em vez de visar apenas uma organização, este vírus usa uma abordagem abrangente que ataca qualquer dispositivo que encontrar, cujo worm anexado ele puder explorar.

Acredita-se que este ataque começou com a distribuição de um documento do Excel que explora uma vulnerabilidade conhecida do Microsoft Office. Assim que um dispositivo for infectado desta forma, o vírus Petya usa a mesma vulnerabilidade usada pelo WannaCrypara se espalhar e invadir outros dispositivos. Seu comportamento semelhante a um vírus é devido à sua sonda ativa para um servidor SMB. Parece estar se espalhando por meio do EternalBlue e WMIC.

Depois de atingir um dispositivo vulnerável, o vírus Petya parece prejudicar o Master Boot Record (MBR) durante o ciclo de infecção. Depois, exibe ao usuário uma notificação de resgate: “Seus arquivos não estão mais acessíveis porque foram criptografados”, e exige um resgate de aproximadamente $300 na moeda digital Bitcoin. Em seguida, especifica que, se o usuário desligar o computador, perderá todos os dados do sistema.

Este ataque possui uma tática diferente dos anteriores. Nas outras versões do ransomware, conforme pode-se perceber, havia o relógio em contagem regressiva ou uma remoção gradual de arquivos. Normalmente a maior perda eram os dados. No entanto, no caso do Petya, que altera o Master Boot Record, o risco é perder todo o sistema. Além disso, o sistema é reiniciado em um ciclo de uma hora, adicionando um outro elemento de negação de serviço ao ataque.

Curiosamente, além das vulnerabilidades do Microsoft Office, o Petya usa o mesmo vetor de ataque que o WannaCry, explorando as mesmas vulnerabilidades da Microsoft que foram descobertas pelo Shadow Brokers no início deste ano. Porém, como foram usados vetores de ataque adicionais nesta exploração, somente a correção não teria sido adequada para interromper esta exploração por completo, isso significa que a correção deve ser combinada com boas ferramentas e práticas de segurança. Os clientes da Fortinet, por exemplo, estão protegidos de todos os vetores de ataque, pois foram detectados e bloqueados pelas nossas soluções ATP, IPS e NGFW. Além disso, nossa equipe de AV emitiu uma nova assinatura de antivírus algumas horas após a descoberta para melhorar a defesa.

Existem alguns aspectos realmente interessantes sobre este ataque. A primeira é que, apesar da grande divulgação das vulnerabilidades e correções da Microsoft, e da natureza global do ataque WannaCry, aparentemente ainda existem milhares de organizações, incluindo aquelas que gerenciam infraestruturas básicas, que falharam na correção de seus dispositivos. O segundo aspecto é que isso pode ser simplesmente um teste para ataques futuros visando vulnerabilidades divulgadas recentemente.

De uma perspectiva financeira, o vírus Wannacry não teve muito sucesso, pois gerou muito pouca receita para seus desenvolvedores. Em parte, isso ocorreu porque os pesquisadores conseguiram interromper e desativar o ataque. Porém, o ataque do vírus Petya é muito mais sofisticado, embora ainda não se saiba se terá mais sucesso em termos financeiros que o ataque anterior.

Até agora, duas coisas estão claras: 1) muitas organizações apresentam segurança deficiente. Quando uma exploração atinge uma vulnerabilidade conhecida para a qual uma correção está disponível há meses ou anos, a culpa é das próprias vítimas. Os principais elementos desse ataque visavam vulnerabilidades com patches disponíveis há algum tempo; e 2) estas mesmas organizações também não possuem ferramentas adequadas para detectar esses tipos de explorações.

ransomware625ciob

Ransomware veio para ficar
É dramático o aumento de vírus tipo ransomware, além da surpreendente gama de variantes no ano passado. Agora vemos e rastreamos vários deles.

Tradicionalmente, o ransomware é um ataque direcionado; isso significa que a vítima é selecionada antecipadamente e que o ataque foi planejado para atacar especificamente essa organização ou rede individual. Neste caso, os recursos básicos, como dados, são criptografados e um resgate é exigido em troca de uma chave para desbloqueá-los.

Também vimos um aumento no tipo de ataque ransomware baseado na negação de serviço, que pode assumir várias formas. O principal ataque de negação de serviço é direcionado a uma organização que sobrecarrega os serviços, tornando-os indisponíveis para os clientes e usuários. Um resgate é exigido para desativá-lo.

O Mirai, que foi lançado em agosto e setembro de 2016, foi o maior ataque de negação de serviço da história, em parte porque usou centenas de milhares de dispositivos de IoT (Internet das Coisas) explorados. Recentemente, um novo botnet baseado em IoT e parecido ao Mirai, chamado Hajime, usou dispositivos DVR explorados para atingir organizações com um ataque ao sistema DDoS combinado à exigência de resgate para desativá-lo. O Hajime é uma exploração de IoT da próxima geração. É uma plataforma cruzada que atualmente é compatível com cinco plataformas diferentes e inclui um conjunto de ferramentas com tarefas automatizadas, listas de senhas dinâmicas, tornando-a dinâmica e atualizável, e que tenta imitar o comportamento humano para não ser identificada pelo radar de detecção.

Um avanço interessante foi o desenvolvimento do ransomware como serviço (RaaS), permitindo que criminosos menos técnicos usem a tecnologia ransomware para iniciar seus próprios negócios de extorsão em troca de fornecer aos desenvolvedores uma parte dos lucros. Nesta família, vimos recentemente o primeiro ransomware RaaS visando MacOS, que até agora permaneceu fora do radar dos atacantes. Porém, como o perfil dos usuários de Mac pode incluir engenheiros e executivos corporativos, o advento de ataques visando esses dispositivos não deve ser uma surpresa.

O que vemos agora são outras duas explorações adicionadas à família de ameaças de ransomware. Com o WannaCry, vimos os desenvolvedores de ransomware pela primeira vez combinando ransomware com um worm para acelerar sua instalação e expansão na escala e no escopo do ataque. E agora, com o Petya, vemos o ataque ao Master Boot Record para aumentar as consequências do não pagamento do resgate exigido, com a perda de arquivos pessoais, que poderiam ter sido armazenados em backup, ou até a perda do dispositivo inteiro.

 

(*) Aamir Lakhani é estrategista sênior de Segurança da Fortinet

 

Source

Related posts

Leave a Comment