Arquivo de etiquetas Malware

PorWagner Lindemberg

Instalações crackeadas do Windows estão infectadas com EternalBlue

O EternalBlue, é o exploit da NSA que fez estragos com o DOUBLEPULSAR no ataque WannaCry.

O código malicioso foi vazado on-line pelo grupo de hackers Shadow Brokers que o roubou do arsenal do Equation Group vinculado à NSA.

O EternalBlue tem como alvo o protocolo SMBv1 do Servidor na porta 445; ele se tornou amplamente adotado na comunidade de desenvolvedores de malware para atingir os sistemas Windows 7 e Windows XP.

A Microsoft solucionou a falha com o MS17-010 e também lançou um patch de emergência para o Windows XP e o Server 2003 em resposta aos ataques de ransomware do WannaCry.

De acordo com uma nova publicação da Avira, os sistemas não corrigidos permanecem expostos a ataques cibernéticos e são serialmente infectados por ameaças.

Ainda há um número significativo de máquinas repetidamente infectadas mais de um ano após os grandes ataques de WannaCry e Petya, disse Mikel Echevarria-Lizarraga, analista sênior de vírus do Avira Protection Lab.

Nossa pesquisa vinculou isso a máquinas Windows que não foram atualizadas em relação à exploração Eternal Blue da NSA e são um alvo aberto para malware.

O número de sistemas não corrigidos expostos online é muito alto, os especialistas apontaram que a maioria deles foi infectada várias vezes. Eles descobriram que as máquinas rodavam instalações crackeadas do Windows, o que significa que não receberam as atualizações de segurança da Microsoft.

Estávamos pesquisando as razões por trás de uma série de máquinas com infecções repetidas, acrescentou Mikel. Descobrimos que muitas dessas máquinas infectadas em série estavam executando falhas de ativação, o que significa que não podem ou não querem atualizar o Windows e instalar atualizações. Isso também significa que eles não receberam o patch de emergência de março de 2017 da Microsoft para esta vulnerabilidade.

A Avira decidiu desativar o protocolo SMB1 totalmente na máquina infectada para interromper o ciclo de infecção sem fim.

Os especialistas descobriram cerca de 300.000 computadores afetados pelo problema, e o Avira Protection está desativando o protocolo SMB1 em cerca de 14.000 computadores diariamente.

A lista dos dez principais países para máquinas infectadas em série é:

  • Indonésia
  • Taiwan
  • Vietnam
  • Tailândia
  • Egito
  • Rússia
  • China
  • Filipinas
  • Índia
  • Turquia

A lista acima não surpreende os especialistas, de acordo com estudos da Statista, os países acima são os principais países para o uso de software não licenciado.

O predomínio de máquinas infectadas fora da América do Norte e da Europa é semelhante aos estudos da Statista sobre o uso de software não licenciado, concluiu a Avira.

Este estudo encontrou taxas de software não licenciadas em média em torno de 52 a 60% fora dos Estados Unidos e da União Européia e caiu para 16% e 28% respectivamente nessas áreas. Geralmente, o software não licenciado não consegue obter os patches mais recentes contra vulnerabilidades como o EternalBlue.

Fonte: securityaffairs.co

PorWagner Lindemberg

7 mitos da segurança cibernética que trazem risco ao seu computador

Proteger nossas informações e rastros digitais em um mundo cada vez mais conectado é uma tarefa cuja demanda sempre aumenta. Por mais que existam ferramentas e softwares que automatizem a nossa proteção, os malefícios que atingem os computadores e smartphones pessoais sempre se inovam. Com a ajuda de informações da desenvolvedora de antivírus e soluções de proteção ESET, o Canaltech elencou a seguir os sete mitos que mais trazem risco ao seu computador — e, alguns deles, são bem recentes.

Atualizações automáticas prejudicam o desempenho do meu aparelho

Atualizações de qualquer sistema operacional servem ao propósito de manter a integridade dele um passo à frente da maioria das ameaças. Houve um tempo em que, de fato, as atualizações automáticas deixavam o sistema lento ou travado devido à alta demanda de processamento e download, mas isso é uma noção antiga. Hoje, os updates ajudam o usuário a manter seu computador seguro e funcionando normalmente. Essas atualizações geralmente corrigem possíveis falhas do sistema, que deixariam o dispositivo vulnerável — e isso vale para celulares, PCs e outros.

Os vírus deixam meu dispositivo lento ou danificado

Outra percepção antiquada, de quando malwares se limitavam a prejudicar um sistema operacional e não tinham o impacto viral que o mundo conectado de hoje pode trazer. Se antes um vírus de computador causava lentidão de sistema ao instalar códigos maliciosos específicos, hoje as ameaças estão em rede, buscando atacar vários usuários ao mesmo tempo em busca de informações sigilosas, como senhas de banco ou acesso a contas em redes sociais. Para conseguir isso, muitas vezes o invasor não deseja que seu vírus seja notado, portanto as ameaças são desenvolvidas para passarem despercebidas, provocando o mínimo de mudanças possível. Já nos dispositivos móveis, ter um vírus instalado pode fazer com que a bateria acabe mais rápido, mas dificilmente o aparelho será danificado, já que ninguém ganha nada com isso.

Não tenho nada que interesse a um cibercriminoso

Engana-se quem acha que vazamentos de informações estão restritos a celebridades e pessoas de maior poder aquisitivo. Enquanto os motivos que atraem cibercriminosos a essas pessoas são bem óbvios (imagens e informações íntimas; muito dinheiro disponível), a maioria dos ataques é direcionada ao cidadão comum, já que o acesso a dados simples como nome e número de CPF são suficientes para que um criminoso faça um empréstimo em nome da vítima, por exemplo. Um dado que comprova isso é que o Brasil é um dos países mais atingidos por golpes no WhatsApp na América Latina.

Se recebi a mensagem de um amigo, não é golpe

Links podem esconder malwares. Parece que estamos “chovendo no molhado” com isso, mas, por muitas vezes, as pessoas ainda caem nesse tipo de golpe pois alguma mensagem ou post compartilhado veio a elas por amigos e fontes confiáveis. O problema é quando a sua fonte confiável também foi vítima. Em um ataque de phishing, por exemplo, as pessoas são levadas a uma página falsa, na qual são incentivadas a compartilhar dados pessoais, como nome completo, e-mail, telefone e até dados bancários em troca de prêmios, brindes ou resgate de dinheiro.

Malwares atacam somente Windows

Antigamente, existia a crença de que, “se deu vírus, é Windows”. Esse mito, propagado pelo fato do sistema operacional da Microsoft ser o mais difundido no mundo, é uma falácia. Atualmente, outros sistemas muito utilizados possuem diversas ameaças detectadas. De acordo com pesquisa da ESET, no primeiro semestre de 2018, o Android teve um total de 322 falhas de segurança, sendo que 23% delas foram críticas. Enquanto isso, o iOS teve 122 vulnerabilidades detectadas, sendo 12% delas críticas.

Posso instalar um vírus assistindo vídeos?

Depende: a maioria dos vídeos, hoje, são assistidos por plataformas de streaming como YouTube e Vimeo — que contam com suas próprias prática de segurança e, de uma forma geral, regem a segurança online de seus usuários. Contudo, se um vídeo — ou qualquer outro conteúdo multimídia — tiver que ser baixado para ser visto, cuidado: vale ficar de olho no formato do arquivo para saber se de fato é um vídeo, já que ele pode ser um trojan ou possuir extensão dupla, contendo código malicioso. Vale ressaltar: isso não ocorre somente com vídeo, podendo ocorrer também com fotos ou apps. Extensões como .mp4, .mov, .avi e .wmv são as mais comuns para vídeos.

Posso ter meu celular clonado apenas por atender uma ligação?

Outra mensagem comum é o alerta para não atender às ligações de um determinado número, pois seu celular será clonado. Trata-se de mais um boato, talvez um dos mais antigos que circulam desde a popularização dos aparelhos móveis. A ESET esclarece que a clonagem de um número é, sim, possível por meio de outras formas mais complexas, mas não ao simplesmente atender uma ligação.

Fonte: Canaltech.

PorWagner Lindemberg

Novo Ransomware que criptografa apenas arquivos EXE

Um novo ransomware que criptografa apenas arquivos EXE presentes em seu computador, incluindo os apresentados na pasta do Windows, que normalmente outro ransomware não faz para garantir que o sistema operacional funcione corretamente.

Ele foi inicialmente twitado pelo MalwareHunterTeam e tem o título de Everlasting Blue Blackmail Vírus Ransomware, de acordo com as propriedades do arquivo. Não se sabe como os atacantes distribuem o ransomware.

De acordo com a análise da Bleeping Computer, ele examina o computador quanto à presença de arquivos .exe para torná-lo inutilizável. Também encerra o processo relacionado a antivírus, como Kaspersky, McAfee e Rising Antivirus.

Geralmente, o ransomware criptografa outros arquivos de mídia, como docx, .xls, .doc, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .jpeg, .csv e outros, para forçar a vítima a efetuar o pagamento. O Blackmail Virus Ransomware de Barack Obama tem como alvo apenas o arquivo .EXE.

O ransomware também criptografa as chaves do registro associadas ao arquivo EXE para ser executado toda vez que alguém inicia o aplicativo.

Como acontece com qualquer outro ransomware, ele não mostra qualquer quantia de resgate, mas pede para a vítima enviar um e-mail para “2200287831@qq.com” para detalhes de pagamento.

A nota de resgate é exibida como: Olá, seu computador está criptografado por mim! Sim, Isso significa que seu arquivo EXE não está aberto! Porque eu cifrei isso. Então você pode descriptografar, mas você tem que dar gorjeta. Isso é uma coisa grande. Você pode enviar um email para: 2200287831@qq.com e obter mais informações.

O ransomware ainda continua a ser uma ameaça global, tornou-se uma indústria de bilhões de dólares que não mostra sinais de desaparecer tão cedo.

O que fazer depois: se você está infectado

  • Desconecte a rede.
  • Determinar o escopo.
  • Entenda a versão ou o tipo de ransomware.
  • Determinar o tipo do ransomware.

Mitigação

  • Use o Strong Firewall para bloquear os retornos de chamada do servidor de comando e controle.
  • Analise todos os seus e-mails em busca de links, conteúdo e anexos maliciosos.
  • Bloqueie os acréscimos e o conteúdo desnecessário da web.
  • Impor permissão de controle de acesso.
  • Faça backups regulares de seus dados.

Fonte: gbhackers.

PorWagner Lindemberg

Segurança de e-mail perdendo de goleada

Saiu o relatório trimestral da MimeCast sobre as ameaças que chegam pelo e-Mail e o cenário é bem ruim.

Uma das principais constatações é de que subiu em 80% o número de ataques com falsos remetentes dirigidos a empresas (chamados pelo FBI de BEC ou business e-Mail compromise). Quando são bem sucedidos, esses ataques resultam em grandes perdas. O nome do remetente em geral é de algum executivo poderoso na empresa. E o do destinatário o de alguém que pode movimentar dinheiro dentro da companhia – fazendo transferências bancárias por exemplo. O conteúdo do e-mail pode ser do tipo “fulano, transfira tanto para a conta xis da empresa tal”. Se o destinatário cair, pronto, é lucro certo. Já aconteceu com muitas e continua acontecendo (procure no Google “BEC scam Austria” e veja como se perdem 50 milhões de euros).

O objetivo da pesquisa da MImeCast é entender melhor o número e o tipo de ameaças transmitidas por e-mail que estão conseguindo furar as defesas atuais das empresas. A pesquisa varreu perto de 142 milhões de mensagens que passaram pela segurança de e-mail das organizações pesquisadas. Infelizmente os sistemas deixaram passar 203 mil links maliciosos contidos em 10,07 milhões de e-mails – isso quer dizer um link malicioso a cada 50 e-mails verificados.

Na inspeção, 19.086.877 eram de spam, 13.176 continham arquivos perigosos e 15.656 tinham anexos comprovadamente de malware. Mas TODOS passaram e chegaram às caixas de entrada dos usuários. Os falsos remetentes dirigidos a empresas foram 41.605.

Fonte: cibersecurity.

PorWagner Lindemberg

Ransomware Ryuk Ataca Várias Redes Empresariais e Já Soma $640.000 Em Resgates

Ransomware Ryuk está se espalhando visando várias redes corporativas em todo o mundo e criptografando vários dados em dispositivos de armazenamento, computadores pessoais e data centers.

O atacante ganhou mais de US $ 640.000 de várias vítimas, exigindo 15 BTC a 50 BTC, a fim de recuperar seus arquivos. Empresas dos EUA e outros países estão severamente afetados pelo Ransomware Ryuk.

Curiosamente, uma análise mais aprofundada revelou que o Ransomware Ryuk usou alguns dos recursos do Ransomware HERMES, que é distribuído pelo Grupo Note-Coreano APT Lazarus.

Os pesquisadores acreditam que o Ryuk pode ser outra campanha direcionada do Grupo Lazarus ou derivado do código-fonte do Malware HERMES.

Nesse caso, os invasores selecionam cuidadosamente o alvo e ele é criado intencionalmente para redes corporativas de pequena escala e para ataques realizados manualmente pelos invasores.

Fluxo de Ataque d0 Ransomware Ryuk

Inicialmente, o Ryuk foi distribuído através de campanhas de spam massivas, kits de exploração e algumas operações específicas, como mapeamento extensivo de rede, hacking e coleta de credenciais necessárias antes de cada operação.

Os invasores que usam a mesma lógica de criptografia encontrada no ransomware HERMES. As semelhanças da lógica do processo de criptografia são quase as mesmas que do Ryuk.

O Ryuk Ransomware elimina mais de 40 processos do Windows e para mais de 180 serviços, executando taskkill e net stop em uma lista de nomes de serviços e processos predefinidos.

A maioria dos serviços e processos pertence ao software de antivírus, banco de dados, backup e edição de documentos.

De acordo com pesquisa da Checkpoint, a técnica de injeção de código contém a principal funcionalidade usada pelo ransomware para criptografia de arquivos. Ele é iniciado pela descriptografia de uma lista de strings de nome de função de API usando uma chave predefinida e uma matriz dos comprimentos de string que são usados ​​para carregar dinamicamente as funções correspondentes.

Duas amostras diferentes foram descobertas e as notas de resgate de ambas as versões são muito semelhantes as enviadas à vítima.

“Nota mais longa, bem redigida e bem formulada, que levou ao maior pagamento registrado de 50 BTC (cerca de US $ 320.000) e uma nota mais curta e mais direta, que foi enviada para várias outras organizações e também levou a alguns pagamentos de resgate. entre 15-35 BTC (até US $ 224.000). ”

Depois de concluir todas as primitivas criptográficas, ele criptografa todas as unidades e compartilhamentos de rede no sistema de vítimas, exceto o arquivo ou diretório contendo o texto de uma lista de desbloqueio codificada, que inclui “Windows”, “Mozilla”, “Chrome”, “RecycleBin”. e “Ahnlab”

Isso com o propósito de deixar o navegador da vítima intacto, pois pode ser necessário para ler a nota de resgate, comprar a criptomoeda e assim por diante.

Os atacantes usam várias carteiras e as vítimas precisam pagar a carteira específica que receberam dentro das notas do Ransomware.

O pesquisador acredita que esse Ransomware é um ataque completamente direcionado e que visa especificamente redes de empresas.

Fonte: GBHackers.

PorWagner Lindemberg

Falhas em aplicativos pré-instalados expõem milhões de dispositivos Android a hackers

Comprou um novo telefone Android? E se eu disser que seu novo smartphone pode ser invadido remotamente?

Quase todos os telefones Android vêm com aplicativos inúteis pré-instalados por fabricantes ou operadoras, geralmente chamados de bloatware, e não há nada que você possa fazer se algum deles tiver um backdoor embutido – mesmo que você tenha o cuidado de evitar aplicativos incompletos.

Isso é exatamente o que os pesquisadores de segurança da empresa de segurança móvel Kryptowire demonstraram na conferência de segurança DEF CON, na sexta-feira.

Pesquisadores divulgaram detalhes de 47 vulnerabilidades diferentes dentro do firmware e aplicativos padrão (pré-instalados e principalmente não removíveis) de 25 aparelhos Android que podem permitir que hackers espionem usuários e redefina seus dispositivos, colocando milhões de dispositivos Android em risco.

Pelo menos 11 desses smartphones vulneráveis ​​são fabricados por empresas como Asus, ZTE, LG e Essential Phone, e são distribuídos por operadoras americanas como a Verizon e a AT & T.

Outras grandes marcas de celulares Android , tais como Vivo, Sony, Nokia e Oppo, e outros fabricantes menores, como Sky, Leagoo, Plum, Orbic, MXQ, Doogee, Coolpad e Alcatel, também estão incluídas nas falhas.

Algumas vulnerabilidades descobertas pelos pesquisadores podem até mesmo permitir que hackers executem comandos arbitrários como o usuário do sistema, limpar todos os dados do usuário de um dispositivo, bloquear usuários de seus dispositivos, acessar o microfone do dispositivo e outras funções, acessar todos os seus dados, incluindo seus e-mails e mensagens , ler e modificar mensagens de texto, enviar mensagens de texto e muito mais, tudo sem o conhecimento dos usuários.

“Todas essas vulnerabilidades são pré-instaladas. Eles aparecem logo que você tira o telefone da caixa”, disse o CEO da Kryptowire, Angelos Stavrou, em um comunicado. “Isso é importante porque os consumidores acham que estão expostos apenas se baixarem algo malicioso”.

Por exemplo, as vulnerabilidades no Asus ZenFone V Live podem permitir a aquisição de todo o sistema, permitindo que os invasores façam capturas de tela e gravem a tela do usuário, façam chamadas telefônicas, espionem mensagens de texto e muito mais.

A Kryptowire, cuja pesquisa foi financiada pelo Departamento de Segurança Interna dos Estados Unidos, explicou que essas vulnerabilidades derivam da natureza aberta do sistema operacional do Android, que permite que terceiros como fabricantes de dispositivos e operadoras modifiquem o código e criem versões completamente diferentes do Android.

A Kryptowire é a mesma empresa de segurança que, no final de 2016, descobriu um backdoor pré-instalado em mais de 700 milhões de smartphones Android que permitiam o envio de todas as mensagens de texto, registro de chamadas, lista de contatos, histórico de localização e dados de aplicativos à China a cada 72 horas.

A Kryptowire reportou de forma responsável as vulnerabilidades ao Google e aos respetivos parceiros Android afetados, alguns dos quais corrigiram os problemas, enquanto outros ainda estão trabalhando para resolver estes problemas com um patch.

No entanto, deve-se notar que, como o próprio sistema operacional Android não é vulnerável a nenhum dos problemas divulgados, o Google não pode fazer muito a respeito, já que não tem controle sobre os aplicativos pré-instalados por fabricantes e operadoras.

Fonte: The Hacker News.

PorWagner Lindemberg

Relatório de Ameaças Virtuais Fortinet – Nenhuma Empresa Está 100% Segura

Das 103.786 vulnerabilidades publicadas na Lista CVE desde o seu início, 5.898 (5.7%) foram exploradas de acordo com a pesquisa do Relatório de Cenário de Ameaças Virtuais da Fortinet. Com mais de 100.000 explorações conhecidas, a maioria das organizações não consegue corrigir vulnerabilidades com agilidade suficiente. Isso indica que os criminosos cibernéticos não estão apenas desenvolvendo novas tecnologias e estratégias para explorar vítimas em potencial, mas também estão se tornando mais seletivo na forma como aproveitam essas explorações, concentrando-se naquelas que gerarão o maior retorno para o investimento.

Tais informações podem ser extremamente valiosas quando se trata de priorizar vulnerabilidades de correção. Se os criminosos não estão explorando a grande maioria das vulnerabilidades, consertar tudo – além de ser impossível – não é a abordagem correta. Em vez disso, é essencial incorporar o conhecimento do que eles estão explorando através de serviços de inteligência contra ameaças. As organizações podem, então, acoplar essas informações sobre ameaças aos Serviços de Classificação de Segurança, que fornecem insights em tempo real sobre a preparação para a segurança em todos os elementos de segurança, para adotar uma abordagem muito mais proativa e estratégica para a correção de vulnerabilidades.

Outros detalhes importantes ​​do relatório deste trimestre incluem:

Praticamente nenhuma empresa é imune a explorações graves: quase nenhuma empresa está imune às tendências de ataque em evolução dos cibercriminosos. O FortiGuard Labs detectou 96% das empresas com pelo menos uma falha grave. Além disso, quase um quarto das empresas viu o malware criptográfico e apenas seis variantes de malware se espalharam para mais de 10% de todas as organizações. O FortiGuard Labs também encontrou 30 novos ataques de dia zero durante o trimestre.

Cryptojacking agora em dispositivos IoT domésticos: os cibercriminosos adicionaram dispositivos IoT ao seu arsenal de ferramentas usadas para mineração de criptomoedas, incluindo dispositivos de mídia domésticos. Eles são um alvo especialmente atraente devido à sua rica fonte de potência computacional, que pode ser usada para fins maliciosos. Outro fator crítico é o fato de que esses dispositivos tendem a estar sempre conectados, permitindo que os invasores realizem a mineração de forma contínua.

As tendências de botnets demonstram criatividade dos cibercriminosos: os cibercriminosos estão maximizando o impacto das botnets, carregando-as com várias ações mal-intencionadas. WICKED, uma nova variante de botnet Mirai, adicionou pelo menos três exploits ao seu kit de ferramentas para melhor direcionar dispositivos de IoT não atualizados. VPNFilter, o avançado ataque patrocinado que tem como alvo os ambientes SCADA / ICS, surgiu como uma ameaça significativa porque não apenas realiza a extração de dados, mas também pode tornar os dispositivos completamente inoperantes, individualmente ou em grupo. A variante Anubis da família Bankbot introduziu várias inovações, incluindo ransomware, keylogger, funções RAT, interceptação de SMS, tela de bloqueio e encaminhamento de chamadas.

Desenvolvedores de malware aproveitam o desenvolvimento ágil: tendências recentes de ataque mostram que os autores de malware estão adotando práticas de desenvolvimento ágeis para tornar seu malware ainda mais difícil de detectar, bem como para combater as táticas mais recentes dos produtos antimalware. O GandCrab teve muitos novos lançamentos este ano e seus desenvolvedores continuam atualizando este malware em um ritmo rápido. Junto com a automação, o desenvolvimento ágil ajuda os autores de malware a lançarem novos ataques altamente evasivos, exigindo que as organizações adotem recursos de proteção e detecção de ameaças cada vez mais avançados para ajudá-los a identificar essas explorações.

Exploração efetiva de vulnerabilidades:Os cibercriminosos escolhem quais vulnerabilidades eles vão explorar. Para isso, eles avaliam as explorações na perspectiva de prevalência e volume de detecções relacionadas; por isso, apenas 5,7% das vulnerabilidades conhecidas foram exploradas sem muitos critérios. Se a grande maioria das vulnerabilidades não for explorada, as organizações devem pensar em adotar uma abordagem estratégica mais proativa para a correção de vulnerabilidades.

Os riscos de segurança continuam a crescer, e entender os riscos que você enfrenta e as táticas que seus inimigos cibernéticos estão usando é essencial para desenvolver e implementar uma estratégia de segurança eficaz e adaptável.

Relatório completo: Download.

Fonte: Fotinet.

PorWagner Lindemberg

Malware permite furto de bitcoins

Pesquisadores da Trend Micro que patrulham fóruns na dark web descobriram uma lista de malware que permite o roubo de até 6.750 dólares, euros ou libras em caixas eletrônicos de possuidores de saldos em bitcoin. A listagem tem data do dia 25 de junho de 2018 e é vendida por US$ 25.000 (ou quase R$ 100 mil). Os vendedores afirmam que o malware funciona “explorando uma vulnerabilidade de serviço”, sem qualquer acesso físico à máquina ATM. O acesso é feito por meio de cartão com chip EMV e NFC.

Os caixas eletrônicos de Bitcoin permitem aos usuários se conectarem às exchanges e transferir valores para suas carteiras digitais, usando para isso seus aparelhos celulares e cartões de identificação para verificar identidade. “Com o aumento da popularidade e do uso real de criptomoedas, e com o fato de que os cibercriminosos sempre tentarão explorar algo que possa gerar receita para eles… não deve ser uma surpresa, então, que malwares direcionados a caixas eletrônicos Bitcoin apareçam nosmercados do submundo”, diz o texto do pesquisador Fernando Merces, da Trend Micro.

Os vendedores do malware oferecem gratuitamente aos compradores um cartão pronto para uso com recursos EMV e NFC integrados, além de um guia multilíngue e suporte ao cliente baseado em Jabber, com atendimento 24 horas por dia, 7 dias por semana. A Trend Micro observa que a listagem já tem 100 comentários – o que sugere que o vendedor já fez bons negócios.

Fonte: CiberSecurity.

PorWagner Lindemberg

PowerGhost: Redes corporativas são alvo de novo minerador de criptomoedas

Especialistas de segurança da Kaspersky Lab identificaram um novo minerador de criptomoedas. Esta descoberta ocorre no momento em que a corrida pelas criptomoedas está crescendo, o que tem provocado um aumento correspondente no número de malwares do tipo cryptojacking (quando o invasor utiliza secretamente outro computador para realizar a mineração das criptomoedas para si próprio). Por isso não é surpresa nenhuma que um novo minerador tenha sido identificado. A bola da vez é um cryptominer que recebeu o apelido de PowerGhost.

Mas o PowerGhost é único por dois motivos:

  1. O foco dele é o ataque em redes corporativas;
  2. É fileless, ou seja, sem arquivo. Isso permite que o minerador possa minerar criptomoedas em servidores e estações de trabalho sem ser notado.

O reinado de terror do PowerGhost acaba de começar, e até o momento, foram relatados ataques na Turquia, Índia, Colômbia e Brasil.

Ações executadas por este minerador de criptomoedas

A primeira etapa é entrar na infraestrutura de computadores da empresa, e por meio da ferramenta Windows Management Instrumentation, tentar acessar as contas dos usuários.

Trabalhando em conjunto com o Mimikatz (uma ferramenta para extração de dados), o PowerGhost obtém as credenciais do usuário, que podem ser utilizadas para efetuar logon no sistema. Após conceder mais privilégios a si mesmo, o malware sequestra o sistema e inicia o processo de mineração.

O minerador tende a ficar mais tempo em um sistema, porque é difícil de ser detectado. Funciona furtivamente ao não baixar nenhum software que possa alarmar a sua presença no sistema. Ele também pode verificar se está sendo executado em um sistema operacional real ou em uma sandbox, permitindo que ele burle as soluções de segurança padrão.

O efeito

Mineradores de criptomoedas executam ações interessantes, como por exemplo utilizar o poder de processamento de seu sistema para assim minerar criptomoedas. Isso resulta em uma drástica redução de desempenho do servidor. Pode ocorrer o superaquecimento de dispositivos, aumentando o desgaste, e consequentemente aumentar os custos para reposição.

Uma versão do PowerGhost possui uma ferramenta para a realização de ataques de negação de serviço distribuído (DDoS).

O que fazer?

O PowerGhost deve ser tratado com um malware, e medidas de segurança precisam ser tomadas. O minerador explora vulnerabilidades antigas, que já foram corrigidas, então certifique-se de ter instalado as atualizações mais recentes em seu sistema operacional. Educar usuários e funcionários sobre os riscos de segurança ajudará a criar um ambiente com mais segurança.

Fonte: Latest Hacking News, Kaspersky, O Analista.