Kaspersky explica o LockerGoga

O ransomware LockerGoga já está sendo detectado pela maioria dos produtos de segurança de endpoint –  segundo o site Virustotal. Mas no dia 8 de Março esse malware passou por 67 deles sem qualquer detecção. Essa informação foi prestada pelo especialista em segurança inglês Kevin Beaumont. Ele avisou no Twitter que “apesar de [ter ocorrido] um ataque usando o LockerGoga na Altran (34.000 funcionários) em janeiro, a grande maioria dos produtos anti-malware de segurança de endpoint não estava conseguindo detectá-lo. Ao enviar uma amostra para o VirusTotal, ele não foi detectado por nenhum dos 67 produtos disponíveis”. Para o especialista, essa teria sido uma das causas pelas quais o malware não foi detectado na Norsk Hydro (e agora na Hexion).

O Cisoadvisor consultou a Kaspersky sobre o assunto e a empresa enviou a seguinte explicação: “A detecção por assinatura dessa ameaça foi lançada em 9 de Março, porém nossos produtos já bloqueavam esta ameaça por meio da tecnologia System Watcher. O papel desta tecnologia é executar o bloqueio proativo contra ataques de ransomware. Aproveitando a oportunidade do Norsk Hydro, uma solução dedicada de segurança para infraestrutura crítica industrial é altamente recomendada. Com relação à alegação de que a maioria das soluções de segurança não detectava o ransomware LockerGoga, gostaríamos de esclarecer dois pontos:

  1. Uso do serviço VirusTotal: essa análise não representam 100% da detecção de uma ameaça. Os resultados do VirusTotal são uma referência e não uma conclusão ou avaliação comparativa de performance da detecção de um produto. Vários fatores estão relacionados a isso, porém o mais importante é que os produtos usados dentro do VirusTotal são versões simplificadas para a plataforma, que está preparada para rodar em linha de comando. O VirusTotal não conta com a versão mais recente das soluções, que contam ainda com outras tecnologias de proteção. Para mais detalhes sobre este ponto, recomendamos que consulte o link a seguir: https://support.virustotal.com/hc/en-us/articles/115002094589-Why-do-not-you-include-statistics-comparing-antivirus-performance-
  2. Assinatura Digital: o ransomware LockerGoga conta com uma assinatura digital, que faz com que alguns produtos de segurança não detectem a ameaça, justamente porque software assinado digitalmente costuma ter uma reputação de software limpo. Podemos afirmar que este certificado não impacta a detecção dos nossos produtos, pois já se tornou corriqueiro realizar varreduras em arquivos assinados digitalmente, visto que essa técnica tem sido amplamente abusada e usada por cibercriminosos no mundo todo, inclusive sendo usada em malware brasileiro (exemplo de um encontrado por nós em 2012).

 

Investidor lucrou hackeando notícias embargadas

Vitaly Korchevsky

Vitaly Korchevsky, ex-vice-presidente do banco Morgan Stanley, ex-gerente de fundos hedge e ex-pastor da Igreja Batista Evangélica Eslava de Brookhaven, Pensilvânia, vai passar os próximos cinco anos na cadeia.

Essa é a pena por ter negociado títulos e valores nos EUA utilizando informações de empresas de capital aberto obtidas por hackers ucranianos antes que fossem publicadas para o mercado.

Condenado em julho do ano passado por um tribunal em Nova York, Korchevsky contratou os hackers para invadirem as empresas PR Newswire, Business Wire e Marketwired, todas especializadas na distribuição de press-releases para empresas de todos os tamanhos.

150 mil press-releases

Entre 2011 e 2015 ele obteve perto de 150 mil press-releases contendo informações (como resultados trimestrais e anuais, por exemplo) que permitiram ganhos financeiros. Além da prisão, Korchevsky foi condenado a devolver US$ 14,4 milhões e a pagar uma multa de US$ 250 mil.

Ele não agiu sozinho: os ganhos obtidos com mais dez operadores na Ucrânia e nos EUA renderam US$ 30 milhões segundo a Justiça. Entre as ações negociadas havia da Caterpillar, Home Depot e Advanced Micro Devices (AMD) por exemplo. Um economista da Securities and Exchange Commission (equivalente à nossa Comissão de Valores Mobiliários, CVM) disse em juízo que até 2010 Korchevsky perdia dinheiro nas transações, mas já em 2011 ganhou cerca de US$ 8,5 milhões – ano em que ele passou a obter informações hackeadas.

Lockergoga pegou também empresa global de química

Ontem, quando aqui eram 20h45, a empresa norte-americana Hexion, especializada principalmente na produção de resinas, publicou no Businesswire um comunicado informando que estava “cuidando” de um incidente de segurança de rede.

Não havia muitos detalhes. Mas não é preciso conhecer muito o assunto para entender situação. No comunicado foram utilizadas expressões como “restaurar a rede, retomar a normalidade das operações, o incidente de rede bloqueou o acesso a certos sistemas e dados, estamos adotando um plano de recuperação, desabilitou e isolou sistemas, comunicou as autoridades, operou com interrupções limitadas, o problema pegou as áreas corporativas, vários sistemas foram desativados inclusive email”.

Servidores down

Precisa dizer mais? O portal de tecnologia Motherboard   conseguiu conversar com funcionário que exibiu um e-mail assinado pelo presidente da empresa, mencionando um blackout global de TI. E mais: o blackout exigia “tropas de elite” para consertá-lo. O funcionário contou que todos os sistemas corporativos caíram, incluindo os servidores de e-mail. O Motherboard informa que enviou um e-mail para um endereço conhecido da empresa e a mensagem, de fato, voltou, não foi entregue.

O incidente teria acontecido no dia 12 deste mês, ou seja, exatamente um dia depois que o ransomware LockerGoga  atingiu a empresa Norsk Hydro na Noruega. A mensagem que apareceu nas telas dos computadores na Hexion é a mesma que apareceu na Norsk Hydro. A única diferença é o endereço de e-Mail para negociação. Mas nos dois casos o endereço pertence ao provedor Proton Mail.

A mensagem do presidente mencionada pelo funcionário informa que a companhia encomendou centenas de novos computadores para substituir aqueles que foram contaminados. Além de ficar sem serviço de e-Mail a Hexion ficou também sem o seu site, já que o servidor de web também caiu. Há informações de que para contornar o problema ela abriu um domínio temporário.

 

Como um ransomware pegou a Norsk Hydro pelo AD

Alerta sobre o problema na entrada da empresa

Hoje é sexta-feira, são 5 da tarde no Brasil e 9 da noite em Oslo, capital da Noruega. Na sede da Norsk Hydro, empresa com mais de 100 anos e 35 mil funcionários, tem um monte de gente trabalhando (embora isso não seja um hábito nos países nórdicos). Essas pessoas estão tentando desatar o nó causado pelo ransomware que atacou a empresa na terça-feira passada. 

Já são quatro dias de batalha e a empresa admite que ainda não é possível determinar quando as operações retornarão à normalidade. Como também é cedo para avaliar os exatos impactos financeiro e operacional. A Hydro é um dos maiores produtores de alumínio do mundo e um impacto em sua produção se reflete na estratégia industrial de muitos países. Inclusive do Brasil. Aqui, a Hydro tem uma operação em Barcarena (PA) chamada Alunorte, onde processa bauxita e produz alumina. Segundo a empresa, a produção da Alunorte não foi prejudicada e ela opera dentro da normalidade.

Ataque direcionado

Gente do mundo inteiro está trabalhando para resolver o problema já que a Hydro decidiu não gastar nenhum centavo de Euro para pagar os criminosos, até porque ela é uma empresa que tem ações na bolsa e não pode se curvar desse jeito ao crime. As primeiras suspeitas indicam que esse ataque foi cuidadosamente planejado para a Norsk Hydro e por isso há policiais noruegueses e da Europol investigando o assunto.

Na minha modesta opinião, o problema não é só da Norsk Hydro. A dimensão dele tem alcance global e deve causar enorme preocupação em todas as corporações, independente do tamanho que tenham.

Nenhum antivírus pegou

O fato de ter sido contaminada pelo ransomware Lockeroga não implica qualquer descuido ou negligência da empresa. Esse mesmo ransomware atacou uma companhia francesa em Janeiro, e ainda não se sabe como ele entrou na Hydro. Mas já é possível afirmar que ele não estava sendo detectado por nenhum antivírus ou qualquer outra solução de proteção de endpoint.

Essa revelação foi feita pelo especialista inglês Kevin Beaumont no dia 8 de Março. Ele capturou uma amostra desse ransomware e enviou ao Virustotal para verificar que solução podia detectá-lo. Descobriu nesse momento que NENHUMA das 67 soluções detectava aquele código. Ele conta que comentou isso no Twitter, que discutiu o assunto com outras pessoas e tentou entrar em contato, sem sucesso, com fabricantes de antivírus para fazer um alerta. Mas não conseguiu, conforme revelou no seu Twitter.

Num artigo que escreveu para o portal Doublepulsar, publicado na manhã de hoje,  ele conta que todos os sistemas atingidos pelo LockerGoga tinham quatro características-chaves: 1) todos rodavam Microsoft Windows; 2) todos os arquivos, incluindo alguns de sistemas, foram criptografados; 3) todas as interfaces de rede nos sistemas foram desabilitadas; e 4) foram alteradas as senhas em todas as contas de usuários locais.

Office 365 salvou

Apesar de os sistemas estarem comprometidos, a empresa continuou se comunicando por e-mail porque utiliza o Office 365 e portanto essa parte não foi afetada. Para comunicação com o público externo foi utilizada a página da empresa no Facebook, já que o seu site ficou fora do ar. A seguir foi levantado um site temporário na nuvem Azure, da Microsoft. Depois, o DNS foi movido para o Cloudflare, para ficar protegido de DDoS.

O certificado digital utilizado para assinar o ransomware, segundo Kevin, havia sido usado para assinar também outros códigos maliciosos. Nesse caso, ele foi emitido para uma empresa que tinha um capital de apenas uma libra. Depois de ser informada desse fato a autoridade certificadora revogou o certificado é claro.

Cópia foi feita pelo AD

Pela análise do especialista inglês, o LockerGoga não tem código apropriado para se reproduzir ou se propagar. Quer dizer que não pode se auto-replicar numa rede como outros ransomwares como o WannaCry ou o Notpetya.

A hipótese de Belmont é que para isso os atacantes buscaram obter credenciais do AD, o Active Directory dos servidores Windows. É possível, segundo ele, que tenham sido usados tarefas ou serviços agendados. Uma vez dentro da rede, ele supõe, seria necessário ter privilégios de administrador de domínio para fazer o ataque. Normalmente, nas empresas e isso é extremamente fácil segundo o especialista, simplesmente pescando logins fora da memória utilizando o software Mimikatz. Ou pegando senhas do Active Directory Group Policy Preferences, que ele supõe estarem nos arquivos XML, “na verdade a ‘carne-de-vaca’ dos Red Teams”.

Como quer que tenha ocorrido, afirma Kevin, os criminosos tinham  a administração do domínio. Estando nessa condição, segundo ele, é possível colocar o executável num local onde todos os sistemas da organização possam alcançá-lo, e com a vantagem de os firewalls das organizações normalmente aceitarem todo o tráfego interno.

Proteção de endpoind

Feito isso, supõe Kevin, o ataque estava resolvido, mas poderia ser bloqueado por qualquer solução de proteção de endpoint. Só que elas não tinham a informação para deter o LockerGoga.

Segundo Kevin Beaumont, uma das possibilidades é também colocar o arquivo num Domain Controller, dentro da pasta de share do NETLOGON, debaixo do SYSVOL, que é replicado dentro de todos os sites de um controlador de domínio. Depois, pode-se usar uma política de grupo (como a criação de tarefas agendadas) para automaticamente iniciar o executável do LockerGoga.

A seguir, qualquer laptop, desktop e servidor conectado ao Active Directory executa o software malicioso, afirma  o especialista.

 

Ransomware fisga fabricante global de alumínio

A empresa Norsk Hydro, décimo maior produtor de alumínio do mundo e segunda maior empresa em número de funcionários na Noruega, ainda não se recuperou do ataque do ransomware LockerGoga, anunciado terça-feira. No seu comunicado de hoje sobre o assunto, a empresa diz que “com uma abordagem sistemática, nossos especialistas estão, passo a passo, restaurando funções críticas de TI para garantir produção estável, atender nossos clientes e limitar o impacto financeiro. A raiz dos problemas foi detectada, uma cura foi identificada e, juntamente com parceiros externos, incluindo autoridades de segurança nacional, os especialistas da Hydro estão trabalhando para reverter os sistemas infectados por vírus para um estado pré-infectado”. 

Gravidade

Não está escrito mas todo mundo consegue ler o seguinte: a encrenca foi MUITO feia e o conserto ainda pode demorar, mesmo a empresa tendo um plano de recuperação de desastres, conforme é reconhecido por especialistas. Foi um azar da nova CEO Hilde Merete Aasheim, que tomou posse dia 15. 

Os problemas se tornaram públicos às 8:30 da manhã de terça-feira, quando a empresa fez a comunicação do fato à bolsa de valores de Oslo, admitindo que “os sistemas de TI na maioria das áreas de negócios estão afetados e a Hydro está mudando as operações para o modo manual, tanto quanto possível”. Na terça-feira ainda houve mais três comunidados de atualização para os investidores descrevendo a situação e uma entrevista coletiva conjunta do CFO da empresa, Eivind Kallevik, e da CSO da Hydro. Eles admitiram que a situação era bastante grave e que por isso os sistemas da Noruega haviam sido isolados para não contaminarem os das outras operações. Entre elas as operações da brasileira Alunorte, em Barcarena, Pará. Daquele momento em diante, grande parte da operação da Hydro passou a ser feita manualmente, porque o religamento de sistemas ampliava o risco de contaminação.

Foi pelo AD

Segundo o especialista Kevin Beaumont, o LockerGoga atacou em janeiro a empresa de enegenharia francesa Altran e provavelmente se espalhou com a ajuda do Active Directory. “Pensando como um invasor, se você tiver em mãos o administrador de domínio, coloca o ‘.exe’ na pasta ‘Netlogon’ e ele se propaga automaticamente para cada Controlador de Domínio. Em seguida, cria uma política de grupo (GPO) para ser executada em cada PC e servidor no nível superior”.

Apesar da gravidade da situação, a diretoria e o conselho da Rádio decidiram não pagar o resgate pedido pelo ransomware.

No seu relatório anual de 2018, publicado seis dias antes (quarta-feira da semana passada), a Hydro coloca os cyber ataques em oitavo lugar na lista dos maiores riscos reconhecidos para a operação da companhia. No mesmo documento, a empresa informa que em 2018 foi intensificado o treinamento dos funcionários para ficarem alertas aos ciberataques.

 

Entenda o que aconteceu ontem com o Facebook


Mais ou menos às 14h de Brasília o Facebook, o WhatsApp e o Instagram começaram a exibir problemas no mundo inteiro. O problema só parece ter sido resolvido pela meia noite na Califórnia, quando eram 5h da manhã em Brasília.

Várias teorias surgiram enquanto o Facebook não dizia quase nada no Twitter. Uma dessas teorias indicava que o Facebook estava sendo atacado com DDoS (ataque distribuido de negação de serviço), mas não foi isso que aconteceu. Quem conhece redes e tecnologia sabe que um ataque desse tamanho não é impossível mas, ao menos por enquanto, improvável.

Para esclarecer o assunto eu entrevistei o Bruno Prado, CEO da UPX, uma empresa especializada não somente em segurança da informação como, também, dona de uma grande rede de entrega de conteúdo (CDN ou content delivery network).

Assista a entrevista do Bruno Prado e entenda o que pode ter acontecido.

Vazamento na Citrix pode ser de 6TB

Sexta-feira passada as ações da Citrix caíram: a empresa admitiu num blog assinado por Stan Black, o CISO da Citrix, que sua rede foi invadida. Pior: ninguém lá dentro sabia e o fato só foi descoberto porque a houve um aviso enviado pelo FBI no dia 6, quarta-feira da semana passada.

Segundo análise independente da empresa de segurança Resecurity, “os agentes de ameaças alavancaram uma combinação de ferramentas, técnicas e procedimentos (TTPs) permitindo que conduzissem uma invasão de rede direcionada para acessar pelo menos 6 terabytes de dados confidenciais armazenados na rede corporativa da Citrix, incluindo correspondência por e-mail, arquivos em compartilhamentos de rede e outros serviços usados para gerenciamento e aquisição de projetos”.

O problema vai piorar porque a Resecurity alega ter avisado a Citrix em 28 de Dezembro passado, informando que o ataque foi feito por um grupo ligado ao Irã conhecido como Iridium, que já atacou mais de 200 agências governamentais, empresas de petróleo e gás e empresas de tecnologia”. A Resecurity compartilhou a informação com parceiros e forças da lei para mitigação. Na sexta-feira 28 de dezembro de 2018 às 10h25, ela entrou em contato com a Citrix e compartilhou uma notificação de alerta antecipado sobre um ataque direcionado e violação de dados. Com base no timing e em outras dinâmicas, a Resecurity acha que o ataque foi planejado e organizado durante o período de Natal.

O blog de Stan Black começa dizendo “Em 6 de março de 2019, o FBI entrou em contato com a Citrix para avisar que eles tinham motivos para acreditar que criminosos cibernéticos internacionais tivessem acesso à rede interna da Citrix”. Podia ser uma vergonha para uma empresa desse tipo (faturamento peerto de US$ 4 bilhões ano e 8 mil funcionários) mas acho que não é mais, de tantos vazamentos já ocorridos. Penso que o CEO simplesmente convocou Stan Black e disse “põe a cara lá e conta o que aconteceu”.

Segundo o CISO da empresa, “parece que os hackers podem ter acessado e baixado documentos comerciais. Os documentos específicos que podem ter sido acessados, no entanto, são atualmente desconhecidos. No momento, não há indicação de que a segurança de qualquer produto ou serviço da Citrix foi comprometida. Embora não tenha sido confirmado, o FBI avisou que os hackers provavelmente usaram uma tática conhecida como password spray, uma técnica que explora senhas fracas. Depois de ganharem acesso limitado, trabalharam para contornar camadas adicionais de segurança”.

 

Clientes BB, Bradesco e Sicredi na mira do malware

Clientes do Bradesco, do Banco do Brasil e da cooperativa de crédito Sicredi estão na mira de uma nova campanha de hackers: eles buscam instalar nos dispositivos das vítimas uma ferramenta chamada RADMIN para controlá-los, utilizando para isso malwares ‘fileless’ (leia o quadro), ou seja, que residem apenas na memória RAM. A campanha foi descoberta por especialistas da TrendMicro, e o objetivo é roubar credenciais bancárias.

O malware, destinado também a bancos de Taiwan, usa vários anexos “.BAT” para abrir um endereço IP. Em seguida, faz o download de um PowerShell contendo o trojan bancário e instala ferramentas para extrair os dados dos usuários. Juntamente com o RADMIN, para controle do dispositivo,  as ferramentas incluem uma para roubo de informações. Ela é capaz de verificar strings relacionadas aos bancos na mira dos bandidos e outras conexões associadas, para determinar se deve ou não direcionar o usuário para uma página falsa na web. A TrendMicro não encontrou dados roubados durante sua análise. No entanto, esses dados após roubados tendem a ser usados para atividades fraudulentas, incluindo sua revenda na Dark Web para que hackers realizem novos crimes. 

[box type=”info” style=”rounded” border=”full”]Um ataque de malware sem arquivo pode começar por uma ação iniciada pelo usuário, como clicar em um anúncio de banner que abre um redirecionamento para acessar o Flash, que então utiliza outros aplicativos no dispositivo. Os ataques de malware sem arquivo existem na RAM de um dispositivo e geralmente acessam e injetam código mal-intencionado em ferramentas padrão do Windows, como o PowerShell e o Windows Management Instrumentation (WMI). Esses aplicativos confiáveis podem executar tarefas do sistema para vários pontos de extremidade, o que os torna alvos ideais para ataques de malware sem arquivo. Por exemplo, a violação Equifax foi executada com um ataque de malware sem arquivo usando o aplicativo Apache Struts.[/box]

Assim que se instala num dispositivo, o malware baixa os códigos do PowerShell, executa e se conecta a outras URLs, extrai e renomeia arquivos. Os arquivos renomeados ainda aparecem como genuínos, marcados como executáveis e como arquivos de imagem. O sistema, em seguida, reinicia algumas vezes, quando arquivos .LNK caem na pasta de inicialização. Ao criar uma tela de bloqueio, o usuário é levado a digitar seu nome de usuário e senha e, a partir daí, o roubo de credenciais é iniciado. O malware envia as credenciais para o servidor de comando e controle e exclui todos os arquivos inseridos e criados, removendo assim todas as pistas e provas.

Em seguida, ele executa outro trojan, identificado como TrojanSpy.Win32.BANRAP.AS, que abre o Outlook e extrai os dados para enviar ao servidor. Nesse ponto, o RADMIN cria uma uma pasta (deixando um arquivo chamado RDP Wrapper na área de trabalho), permitindo que o hacker tenha acesso total ao sistema, ganhe direitos de administrador e acompanhe as atividades do usuário sem ser notado. Após a reinicialização, ele exclui os arquivos recém-instalados para novamente remover suas pistas e os substitui por arquivos  .LNK contaminados. A seguir carrega o trojan para aplicativos da Web. É com isso que ele captura credenciais quando os usuários fazem login no seu banco.

 

Como se destrói um provedor de e-mail

No dia 11 de fevereiro houve um ataque destruidor ao provedor de e-Mail VFEmail, baseado em Milwaukee, Wisconsin. Foi o terceiro de uma série iniciada em 2015. Por que isso aconteceu? Como pode ter acontecido? Como isso poderia ter sido evitado? Neste primeiro vídeo do Ciso Advisor, o especialista em cyber Carlos Rodrigues constrói respostas possíveis para essas perguntas e discute a questão do backup, que também foi destruído durante o ataque.

Como isso pode ter acontecido???