Arquivo de etiquetas Ransomware

PorWagner Lindemberg

Instalações crackeadas do Windows estão infectadas com EternalBlue

O EternalBlue, é o exploit da NSA que fez estragos com o DOUBLEPULSAR no ataque WannaCry.

O código malicioso foi vazado on-line pelo grupo de hackers Shadow Brokers que o roubou do arsenal do Equation Group vinculado à NSA.

O EternalBlue tem como alvo o protocolo SMBv1 do Servidor na porta 445; ele se tornou amplamente adotado na comunidade de desenvolvedores de malware para atingir os sistemas Windows 7 e Windows XP.

A Microsoft solucionou a falha com o MS17-010 e também lançou um patch de emergência para o Windows XP e o Server 2003 em resposta aos ataques de ransomware do WannaCry.

De acordo com uma nova publicação da Avira, os sistemas não corrigidos permanecem expostos a ataques cibernéticos e são serialmente infectados por ameaças.

Ainda há um número significativo de máquinas repetidamente infectadas mais de um ano após os grandes ataques de WannaCry e Petya, disse Mikel Echevarria-Lizarraga, analista sênior de vírus do Avira Protection Lab.

Nossa pesquisa vinculou isso a máquinas Windows que não foram atualizadas em relação à exploração Eternal Blue da NSA e são um alvo aberto para malware.

O número de sistemas não corrigidos expostos online é muito alto, os especialistas apontaram que a maioria deles foi infectada várias vezes. Eles descobriram que as máquinas rodavam instalações crackeadas do Windows, o que significa que não receberam as atualizações de segurança da Microsoft.

Estávamos pesquisando as razões por trás de uma série de máquinas com infecções repetidas, acrescentou Mikel. Descobrimos que muitas dessas máquinas infectadas em série estavam executando falhas de ativação, o que significa que não podem ou não querem atualizar o Windows e instalar atualizações. Isso também significa que eles não receberam o patch de emergência de março de 2017 da Microsoft para esta vulnerabilidade.

A Avira decidiu desativar o protocolo SMB1 totalmente na máquina infectada para interromper o ciclo de infecção sem fim.

Os especialistas descobriram cerca de 300.000 computadores afetados pelo problema, e o Avira Protection está desativando o protocolo SMB1 em cerca de 14.000 computadores diariamente.

A lista dos dez principais países para máquinas infectadas em série é:

  • Indonésia
  • Taiwan
  • Vietnam
  • Tailândia
  • Egito
  • Rússia
  • China
  • Filipinas
  • Índia
  • Turquia

A lista acima não surpreende os especialistas, de acordo com estudos da Statista, os países acima são os principais países para o uso de software não licenciado.

O predomínio de máquinas infectadas fora da América do Norte e da Europa é semelhante aos estudos da Statista sobre o uso de software não licenciado, concluiu a Avira.

Este estudo encontrou taxas de software não licenciadas em média em torno de 52 a 60% fora dos Estados Unidos e da União Européia e caiu para 16% e 28% respectivamente nessas áreas. Geralmente, o software não licenciado não consegue obter os patches mais recentes contra vulnerabilidades como o EternalBlue.

Fonte: securityaffairs.co

PorWagner Lindemberg

Quase um milhão de computadores ainda são vulneráveis a ataques EternalBlue

Ataques de mineração de criptomoeda usando ferramentas da NSA ainda são muito utilizadas um ano depois.

Há cerca de um ano, uma série de ferramentas criadas pela NSA (Agência Nacional de Segurança dos Estados Unidos) foram roubadas e publicadas online — e até hoje elas ainda estão sendo utilizadas por hackers na criação de ransomwares e malwares que mineram criptomoedas.

Uma dessas ferramentas, chamada de EternalBlue, é capaz de invadir praticamente qualquer máquina que utilize Windows. Uma de suas principais utilizações é na criação de ransomwares, que se espalham rapidamente por toda a rede assim que um único computador é infectado, dominando não só computadores, mas qualquer dispositivo que esteja conectado a ela.

Ataques desse tipo já custaram centenas de milhões de dólares para uma série de empresas afetadas pela praga. Mas, mais de um ano depois de a Microsoft ter lançado patches que corrigem as falhas utilizadas pelo EternalBlue, ainda há quase um milhão de computadores e redes vulneráveis a ele.

E, mesmo que as infecções por ransomwares que utilizam a ferramenta tenham diminuído, os hackers ainda a utilizam para infectar computadores com malwares que fazem essas máquinas minerar bitcoins para eles.

É fácil se proteger

De acordo com dados da empresa de segurança eletrônica Cybereason, o único motivo para esse tipo de vírus ainda afetar tantas empresas é o fato de elas não atualizarem seus softwares. Segundo dados da Shodan (um mecanismo de pesquisa utilizado para encontrar quantos computadores e bancos de dados possuem portas abertas que podem ser usadas por um hacker), existem mais de 900 mil servidores que ainda estão vulneráveis aos ataques do EternalBlue.

Na semana passada, a Cybereason foi contratada para resolver um problema em uma empresa que, segundo eles, não pode ser nomeada por motivos contratuais, mas que é uma multinacional que faz parte da lista das 500 maiores empresas da revista Fortune. A companhia em questão foi atingida por um vírus chamado WannaMine, que transforma os computadores da rede em máquinas para a mineração de bitcoins. De acordo com a Cybereason, assim que a primeira máquina foi infectada, o vírus rapidamente se espalhou e se apoderou de mais de mil máquinas em um único dia.

Isso acontece por causa do modo como o WannaMine funciona. Ao utilizar o EternalBlue para penetrar em uma rede, o vírus passa a tentar infectar qualquer computador que esteja conectado a ela — e faz isso de modo persistente, então mesmo que um computador seja desligado, o vírus continuará tentando infectá-lo assim que ele for ligado novamente. Quando se espalha pela rede, ele modifica as configurações de energia de todas as máquinas, impedindo-as de serem desligadas e desativando qualquer outro processo de mineração de criptomoeda que possa estar rodando ali, fazendo com que o computador se dedique exclusivamente à mineração.

A solução para se proteger dessa ferramenta é simples: basta estar em dia com as atualizações do Windows para que o EternaBlue não faça nada contra sua máquina. E, do modo como ele ainda é utilizado em larga escala, é melhor fazer isso antes que os hackers achem um jeito de usar essa ferramenta para algo mais perigoso do que minerar criptomoedas, como, por exemplo, roubar todas as senhas de todos os computadores conectados a uma rede.

Fonte: techcrunch.

PorWagner Lindemberg

Novo Ransomware que criptografa apenas arquivos EXE

Um novo ransomware que criptografa apenas arquivos EXE presentes em seu computador, incluindo os apresentados na pasta do Windows, que normalmente outro ransomware não faz para garantir que o sistema operacional funcione corretamente.

Ele foi inicialmente twitado pelo MalwareHunterTeam e tem o título de Everlasting Blue Blackmail Vírus Ransomware, de acordo com as propriedades do arquivo. Não se sabe como os atacantes distribuem o ransomware.

De acordo com a análise da Bleeping Computer, ele examina o computador quanto à presença de arquivos .exe para torná-lo inutilizável. Também encerra o processo relacionado a antivírus, como Kaspersky, McAfee e Rising Antivirus.

Geralmente, o ransomware criptografa outros arquivos de mídia, como docx, .xls, .doc, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .jpeg, .csv e outros, para forçar a vítima a efetuar o pagamento. O Blackmail Virus Ransomware de Barack Obama tem como alvo apenas o arquivo .EXE.

O ransomware também criptografa as chaves do registro associadas ao arquivo EXE para ser executado toda vez que alguém inicia o aplicativo.

Como acontece com qualquer outro ransomware, ele não mostra qualquer quantia de resgate, mas pede para a vítima enviar um e-mail para “2200287831@qq.com” para detalhes de pagamento.

A nota de resgate é exibida como: Olá, seu computador está criptografado por mim! Sim, Isso significa que seu arquivo EXE não está aberto! Porque eu cifrei isso. Então você pode descriptografar, mas você tem que dar gorjeta. Isso é uma coisa grande. Você pode enviar um email para: 2200287831@qq.com e obter mais informações.

O ransomware ainda continua a ser uma ameaça global, tornou-se uma indústria de bilhões de dólares que não mostra sinais de desaparecer tão cedo.

O que fazer depois: se você está infectado

  • Desconecte a rede.
  • Determinar o escopo.
  • Entenda a versão ou o tipo de ransomware.
  • Determinar o tipo do ransomware.

Mitigação

  • Use o Strong Firewall para bloquear os retornos de chamada do servidor de comando e controle.
  • Analise todos os seus e-mails em busca de links, conteúdo e anexos maliciosos.
  • Bloqueie os acréscimos e o conteúdo desnecessário da web.
  • Impor permissão de controle de acesso.
  • Faça backups regulares de seus dados.

Fonte: gbhackers.

PorWagner Lindemberg

Ransomware Ryuk Ataca Várias Redes Empresariais e Já Soma $640.000 Em Resgates

Ransomware Ryuk está se espalhando visando várias redes corporativas em todo o mundo e criptografando vários dados em dispositivos de armazenamento, computadores pessoais e data centers.

O atacante ganhou mais de US $ 640.000 de várias vítimas, exigindo 15 BTC a 50 BTC, a fim de recuperar seus arquivos. Empresas dos EUA e outros países estão severamente afetados pelo Ransomware Ryuk.

Curiosamente, uma análise mais aprofundada revelou que o Ransomware Ryuk usou alguns dos recursos do Ransomware HERMES, que é distribuído pelo Grupo Note-Coreano APT Lazarus.

Os pesquisadores acreditam que o Ryuk pode ser outra campanha direcionada do Grupo Lazarus ou derivado do código-fonte do Malware HERMES.

Nesse caso, os invasores selecionam cuidadosamente o alvo e ele é criado intencionalmente para redes corporativas de pequena escala e para ataques realizados manualmente pelos invasores.

Fluxo de Ataque d0 Ransomware Ryuk

Inicialmente, o Ryuk foi distribuído através de campanhas de spam massivas, kits de exploração e algumas operações específicas, como mapeamento extensivo de rede, hacking e coleta de credenciais necessárias antes de cada operação.

Os invasores que usam a mesma lógica de criptografia encontrada no ransomware HERMES. As semelhanças da lógica do processo de criptografia são quase as mesmas que do Ryuk.

O Ryuk Ransomware elimina mais de 40 processos do Windows e para mais de 180 serviços, executando taskkill e net stop em uma lista de nomes de serviços e processos predefinidos.

A maioria dos serviços e processos pertence ao software de antivírus, banco de dados, backup e edição de documentos.

De acordo com pesquisa da Checkpoint, a técnica de injeção de código contém a principal funcionalidade usada pelo ransomware para criptografia de arquivos. Ele é iniciado pela descriptografia de uma lista de strings de nome de função de API usando uma chave predefinida e uma matriz dos comprimentos de string que são usados ​​para carregar dinamicamente as funções correspondentes.

Duas amostras diferentes foram descobertas e as notas de resgate de ambas as versões são muito semelhantes as enviadas à vítima.

“Nota mais longa, bem redigida e bem formulada, que levou ao maior pagamento registrado de 50 BTC (cerca de US $ 320.000) e uma nota mais curta e mais direta, que foi enviada para várias outras organizações e também levou a alguns pagamentos de resgate. entre 15-35 BTC (até US $ 224.000). ”

Depois de concluir todas as primitivas criptográficas, ele criptografa todas as unidades e compartilhamentos de rede no sistema de vítimas, exceto o arquivo ou diretório contendo o texto de uma lista de desbloqueio codificada, que inclui “Windows”, “Mozilla”, “Chrome”, “RecycleBin”. e “Ahnlab”

Isso com o propósito de deixar o navegador da vítima intacto, pois pode ser necessário para ler a nota de resgate, comprar a criptomoeda e assim por diante.

Os atacantes usam várias carteiras e as vítimas precisam pagar a carteira específica que receberam dentro das notas do Ransomware.

O pesquisador acredita que esse Ransomware é um ataque completamente direcionado e que visa especificamente redes de empresas.

Fonte: GBHackers.

PorWagner Lindemberg

Dark Web Market: O custo de malwares, exploits e serviços

Você pode ter uma ideia sobre o que acontece na Dark Web. Caso você não saiba, a Dark Web é a parte da internet não indexada pelos mecanismos de busca. Portanto, é necessário um software especial para acessar o conteúdo. O mercado da Dark Web é um local para a compra e venda de materiais ilícitos. Esqueça drogas e armas por enquanto, vamos nos concentrar em softwares e serviços maliciosos. Usuários com más intenções estão negociando com eles e ganhando muito dinheiro com isso.

Um relatório recente da Positive Technologies, uma empresa de segurança, destaca o florescente mercado da Dark Web. O relatório baseia-se em 25 plataformas de negociação na Dark Web com mais de 3 milhões de usuários. Mais de 10000 anúncios foram analisados. Resultados interessantes foram verificados.

Malware

O malware desempenha um papel vital em vários ataques cibernéticos. Vários tipos de malware estavam à venda, cada um com custos variados. De acordo com a popularidade baseada nos anúncios encontrados, os crypotominers estavam no topo da lista em popularidade.

Data-stealing Trojans (stealers): eles roubam senhas da área de transferência, interceptam as teclas digitadas, são capazes de contornar ou desabilitar o software antivírus e também podem enviar arquivos para o e-mail do invasor. Um stealer custa cerca de US $ 10. Observe que os dados roubados (credenciais para contas de e-mail, redes sociais, etc.) obtidos usando esses stealers podem custar muito mais.

Ransomware: um Ransomware criptografa seu sistema e / ou os arquivos e exige um resgate antes da descriptografia. O custo médio de obtenção de tal malware é de US $ 270.

RATs: os RATs (RATs – Remote Access Trojans) permitem que um invasor rastreie as ações do usuário, capture a tela, execute arquivos e execute comandos, ative a webcam e também o microfone e baixe os arquivos da Internet. Os RATs populares incluem: DarkComet, CyberGate, ProRAT, Turkojan, Back Orifice, Cerberus Rat e Spy-Net. O custo para obter um? Uma média de US $ 490. Alguns RATs desenvolvidos como programas legais para gerenciamento remoto de computadores têm uma assinatura mensal que custa cerca de US $ 1.000.

Botnet: os preços para criar uma botnet começam em US $ 200 no mercado paralelo. Um pacote completo com programas de servidor e demais módulos custará entre US $ 1.000 e US $ 1.500.

Malware ATM: esses trojans são usados ​​para roubar dinheiro de caixas eletrônicos. O hacking de ATMs é lucrativo, considerando o fato de que um único ATM pode conter cerca de US $ 200.000. Os preços do malware ATM começam em US $ 1.500 e são considerados os mais caros de todos os malwares. Além disso, um único malware pode ser usado para atacar vários caixas eletrônicos.

Exploits

Os exploits identificam as vulnerabilidades de um sistema ou software e aproveitam-se delas. Os exploits listados na Dark Web são personalizadas para várias plataformas. Os exploits baseadas em Windows são mais populares devido a um amplo tamanho de mercado. No período 2017-2018, o preço médio de uma exploração é de US $ 2.540. As explorações para a família macOS variaram de US $ 2.200 a US $ 5.300.

Serviços

Algumas pessoas preferem contratar cibercriminosos para fazer o trabalho sujo para eles:

  • Desenvolvedor de malware: a partir de US $ 500.
  • Ofuscador de malware: pode ganhar cerca de US $ 25 mensais, se por assinatura.
  • Distribuidor de malware: cerca de US $ 15 em média.

As informações listadas acima são obviamente para fins informativos. É uma má ideia participar das vendas desses produtos, especialmente na Dark Web.

Fonte: Latest Hacking News.

PorWagner Lindemberg

Corporações que cortaram o orçamento de TI pagaram o preço do WannaCry.

WannaCry

Corporações que cortaram o orçamento de TI pagaram o preço do WannaCry

 

O ransomware WannaCry expôs a fragilidade dos orçamentos de TI nas grandes corporações no mundo. O malware, que infectou mais de 300 mil computadores no mundo desde o dia 12 de maio, usa a vulnerabilidade de sistemas operacionais Windows já descontinuados pela Microsoft. “Em grandes companhias atualizações são difíceis de executar e evitadas por causa do orçamento e escala”, revela Nikolay Grebennikov, o vice-presidente de pesquisas e desenvolvimento na Acronis.

A Rússia foi o país mais afetado pelo WannaCry – cerca de 20% dos computadores infectados estão no país. “Muitas companhias na Rússia usam sistemas desatualizados e antivírus antigos”, critica o especialista. Uma das empresas foi o serviço de correio da Rússia, que ainda sofre o impacto do ransomware, com alguns de seus computadores continuam bloqueados, disseram três funcionários em Moscou à agência Reuters.

O vírus comprometeu o sistema automatizado de gerenciamento de filas e infectou terminais que funcionavam com o antigo Windows XP, disse um dos trabalhadores. Em algumas partes da capital russa terminais ainda estavam inoperantes , mas não se sabe exatamente quantas agências foram afetadas. Um porta-voz do correio russo, disse que nenhum computador foi infectado, mas alguns terminais estão temporariamente desligados como precaução. “O ataque não afetou o correio russo, todos os sistemas estão funcionando e estão estáveis”, disse.

Outras instituições no país disseram que foram infectadas pelo vírus, ressaltando a rapidez de Moscou em mostrar que também é uma vítima frequente de crimes digitais e contrariando alegações dos Estados Unidos e da Europa sobre crackers patrocinados pela Rússia. E ainda há milhares de computadores e empresas desprotegidas. De acordo com a Avast, cerca de 15% dos mais de 400 milhões de usuários do antívirus da empresa não corrigiram a falha do Windows (MS17-010). Os 10 países mais atingidos, de acordo com a companhia são (pela ordem): Rússia, Ucrânia, Taiwan, Índia, Brasil, Tailândia, Romênia, Filipinas, Armênia e Paquistão.

Segundo ainda a Avast, remover o WannaCry de um computador não é difícil. Os antivírus devem ser capazes de remover o ransomware e enviar os arquivos maliciosos para quarentena, mas isso não resolve todo o problema: os arquivos do usuário permanecem criptografados. No momento, não existe uma ferramenta de descriptografia disponível e, com base na nossa análise, a criptografia utilizada parece muito forte (AES-128 combinada com RSA-2048). A melhor solução para um computador infectado é recuperar os arquivos de um backup, se estiver disponível.

 

Fonte: cbsi.net.br.

 

PorWagner Lindemberg

Descoberta falha em programa do Linux no estilo do WannaCry

Falha em programa do Linux no estilo do WannaCry

Falha em programa do Linux no estilo do WannaCry

 

Depois do ataque WannaCry, que terá afetado mais de 300 mil computadores em todo o mundo, investigadores de cibersegurança anunciaram na quarta-feira, 24 de Maio de 2017, a descoberta de mais uma vulnerabilidade, num software de uso gratuito, que poderá afetar mais de 100 mil aparelhos em todo o Mundo. Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta, embora seja “muito, muito fácil explorar” o “buraco” no software Samba. A responsável revelou que contabilizaram mais de 100 mil computadores com versões vulneráveis do referido software gratuito, mas que é provável que haja “muitos mais”. Alguns poderão pertencer a organizações e empresas, mas a maioria serão computadores domésticos.

“A maioria dos computadores está a correr versões antigas do software que não podem ser emendadas”, acrescentou a investigadora. A vulnerabilidade encontrada pode ser utilizada para criar um “worm” semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.

 

Fonte: cbsi.net.br

PorLeonardo Garcia

Ransomware para smartphones cresceu mais de 3 vezes

Ilustração Ransomware

Nas últimas semanas, o sequestro de aparelhos nunca esteve tão em alta, especialmente pelo WannaCry, que foi responsável pela invasão de vários computadores em muitos locais do mundo. Porém, o vírus do tipo ransomware não é exclusivo para computadores, sendo que os smartphones podem também ser comprometidos.

De acordo com um levantamento divulgado nesta terça-feira (23), pela Kaspersky Lab, esse tipo de golpe, direcionado aos dispositivos móveis, teve aumento de 3,5 vezes entre janeiro e março deste ano.

A empresa de segurança mostra que o número de arquivos ransomware móvel passou de 61,8 mil, no trimestre passado, para 218,6 mil, no início deste ano. Tal aumento ocorre, principalmente, pelo crescimento da família Conjur, que está presente em 86% dos golpes já identificados.

O ransomware Conjur é um bloqueador que configura e também restabelece o PIN do aparelho, o que acaba fornecendo direitos de administrador no dispositivo e também algumas variantes do malware para que os cibercriminosos possam instalar o seu módulo na pasta do sistema. Vale mencionar que a remoção do arquivo é praticamente impossível. O Trojan-ransom.AndroidOS.Fusob.h é o líder dos trojans ainda. Conforme o estudo, ele foi o responsável por 45% de todos os ataques a dispositivos móveis.

Quando tal trojan é executado, ele solicita privilégios de administrador e consegue coletar informações do dispositivo através do histórico de chamadas e suas coordenadas GPS. Após isso, ele carrega os dados em um servidor que pode enviar a ordem para bloqueio do aparelho.

“O panorama de ameaça ransomware móveis ficou longe de ser calmo no primeiro trimestre do ano. O número de ameaças cresceu, com novas famílias e modificações de famílias já existentes. As pessoas precisam ter em mente que os criminosos podem – e cada vez mais vão- tentar bloquear o acesso a seus dados não apenas em um PC, mas também em seu dispositivo móvel”, explica Roman Unuchek, analista da Kaspersky Lab.

Para evitar ataques, a recomendação principal é que os usuários tenham muita cautela ao acessar a web: Não clicar em páginas e links duvidosos, bem como não inserir dados em cadastros sem saber a procedência da página. Também é indicado manter um backup atualizado do aparelho.

Fonte: Oficina da Net