terça-feira , setembro 26 2017
Últimas Notícias

O ransomware WannaCry atinge computadores com Windows no mundo inteiro

Um enorme ataque malicioso baseado em ransomware foi o principal assunto nas manchetes de sexta-feira, primeiro visando hospitais do Reino Unido e bancos espanhóis antes de se espalhar rapidamente pelo mundo. A notícia foi prontamente confirmada pela empresa espanhola Telco Telefónica, uma das inúmeras vítimas do ataque deste ransomware. O jornal El País também relatou o ataque maciço, enquanto especialistas da Telefónica confirmaram que os sistemas em sua intranet estavam infectados, acrescentando que a situação estava sob controle. Os serviços de telefonia fixa e móvel prestados pela Telefónica não foram afetados pelo ataque baseado em ransomware.

O CERT espanhol emitiu um alerta alerta as organizações e confirmou que o malware estava se espalhando rapidamente.

O ransomware, chamado WannaCry (também conhecido como Wcry, WanaCrypt, WannaCrypt), visava muitas outras empresas na Espanha e em todo o mundo, incluindo Vodafone, FedEx e outras infra-estruturas críticas.

De acordo com El Reg, 6 unidades NHS (serviço nacional de saúde) no Reino Unido ficaram indisponíveis por causa do malware. Segundo o primeiro-ministro Theresa May, o ransomware “prejudicou” os hospitais do Reino Unido, o representante do governo também confirmou que a situação era monitorada pela agência de inteligência GCHQ.

O NHS enfrentou sérios problemas devido à natureza antiquada de sua infra-estrutura de TI que ainda inclui um grande número de sistemas que executam sistemas Windows XP.

“Computadores foram trancados em Aintree, Blackpool, Broomfield Hospital em Essex, Colchester General Hospital, todos os sistemas hospitalares em Derbyshire, Great Yarmouth, Leste e Norte Hertfordshire, James Paget Hospital em Norfolk, Lanarkshire e Leicester.” Reportado por El Reg.

Um computador infectado pelo ransomware WannaCry

 

Especialistas da empresa de segurança Avast detectaram mais de 75.000 ataques em 99 países, a maioria das infecções foi observada na Rússia, Ucrânia e Taiwan.

Um mapa em tempo real das infecções está disponível no seguinte endereço: https://intel.malwaretech.com/botnet/wcrypt/?t=5m&bid=all

Mapa de Infecções em Tempo Real

 

 

 

 

 

 

 

 

 

Um Ransomware que alavancou os exploits da NSA: EternalBlue e DoublePulsar

O ransomware WannaCry utiliza os dois exploits da NSA, o EternalBlue e o DoublePulsar para infectar computadores e propagar a ameaça para qualquer outro sistema Windows conectado na mesma rede.

Pesquisadores da Kaspersky Lab confirmaram que o ataque WannaCry “é iniciado por meio de uma execução remota de código SMBv2 no Microsoft Windows.”

“É importante entender que, embora os computadores Windows não pontuados exponham seus serviços SMB possam ser atacados remotamente com o exploit “EternalBlue” e infectados pelo ransomware do WannaCry, a falta de existência dessa vulnerabilidade não impede que o componente ransomware funcione. No entanto, a presença desta vulnerabilidade parece ser o fator mais significativo que causou o surto”, relatou a análise da Kaspersky.

Especialistas destacaram as capacidades de redes de acesso público que permitem que o código malicioso se espalhe rapidamente.

“A criticidade especial desta campanha é causada pela exploração da vulnerabilidade descrita no boletim MS17-010 usando EternalBlue / DoublePulsar, que pode infectar outros sistemas Windows conectados na mesma rede que não estão devidamente atualizados. A infecção de um único computador pode acabar comprometendo toda a rede corporativa “, afirma o alerta de segurança emitido pelo CERT espanhol.

“O ransomware, uma variante do WannaCry, infecta a máquina criptografando todos os seus arquivos e, usando a vulnerabilidade mencionada no parágrafo anterior que permite a execução de comandos remotos através do Samba (SMB) e é distribuída para outras máquinas Windows na mesma rede .”

O backdoor DOUBLEPULSAR permite aos atacantes injetar e executar código malicioso em um sistema alvo; Ele é instalado pelo alavancador ETERNALBLUE, uma exploração SMBv1 (Server Message Block 1.0) que poderia disparar um RCE em versões mais antigas do Windows (Windows XP para Server 2008 R2).

O ransomware do WannaCry se espalha através do SMB, criptografa os arquivos nas máquinas infectadas e cobra US $ 300 ou US $ 600 no Bitcoin para recupera-los.

O ransomware pode criptografar uma grande variedade de documentos nas máquinas infectadas, também ataca documentos armazenados em qualquer armazenamento anexado e negar todas as chaves para acesso à área de trabalho remota. O malware exclui snapshots de volume e desativa as ferramentas de reparo do sistema para tornar os arquivos de recuperação impossíveis.

Especialistas observaram que o malware determinar o idioma da vítima para exibir uma mensagem de resgate na lingua correta.

Especialistas em segurança da equipe Talos da CISCO, publicaram uma análise detalhada sobre o ransomware WannaCry.

Abaixo do processo completo de infecção descrito na análise publicada pelos especialistas da equipe Talos:

“Um arquivo inicial mssecsvc.exe insere no sistema e executa o arquivo tasksche.exe. O domínio Kill Switch¹ é então verificado. Em seguida, o serviço mssecsvc2.0 é criado. Este serviço executa o arquivo mssecsvc.exe com um ponto de entrada diferente da execução inicial. Essa segunda execução verifica o endereço IP da máquina infectada e tenta se conectar à porta 445 TCP de cada endereço IP na mesma sub-rede. Quando o malware se conecta com êxito a uma máquina, uma conexão é iniciada e os dados são transferidos. Acreditamos que este tráfego de rede é um payload de exploit. Tem sido amplamente divulgado que este está explorando vulnerabilidades recentemente divulgadas pela Microsoft no boletimMS17-010. Atualmente, não temos uma compreensão completa do tráfego SMB, e exatamente quais condições precisam estar presentes para que ele se espalhe usando esse método.”,  Afirma a análise.

¹ Nota: Por se tratar de uma tradução e alguns termos não serem da língua portuguesa e nem terem tradução, se fez necessário essa explicação adicional. O termo Kill Switch pode ser literalmente traduzido como “botão de parada”, nestes contesto podemos vê-lo como um botão de parada de emergência de forma simbólica, neste caso es específico o termo é utilizado, pois foi detectado uma forma de parar a infecção do malware realizando o redirecionamento de um endereço dns, esse redirecionamento possui o nome de dns sinkhole.

“O arquivo tasksche.exe verifica se há unidades de disco, incluindo compartilhamentos de rede e dispositivos de armazenamento removíveis mapeados para uma letra, como ‘C: /’, ‘D: /’ etc. O malware então verifica se há arquivos com uma extensão de arquivo conforme listado no apêndice e criptografa estes usando a criptografia RSA 2048-bit. Enquanto os arquivos estão sendo criptografados, o malware cria um novo diretório de arquivos ‘Tor/’ no qual ele coloca o tor.exe e nove arquivos dll usados ​​pelo tor.exe. Além disso, ele coloca outros dois arquivos: taskdl.exe e taskse.exe. O primeiro exclui arquivos temporários enquanto o último inicia o @wanadecryptor@.exe para exibir a nota de resgate na área de trabalho do usuário. O @wanadecryptor@.exe não é, por si só, o ransomware, apenas a nota de resgate. A criptografia é executada em segundo plano pelo tasksche.exe.”

Os especialistas que desejam analisar o ransomware do WannaCry podem encontrar uma amostra do código no seguinte repositório do GitHub: https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

A página inclui informações úteis, como os endereços das carteiras Bitcoin para o malware.

O ransomware direciona as vítimas para uma página com exibir um código QR em btcfrog, que está linkado a principal carteira de bitcoin do atacante: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.

Página de pagamento exibe código QR

 

 

 

 

 

 

 

 

Abaixo estão as principais descobertas da ameaça:

  • Nome do Malware: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY;
  • Vetor: Todas as versões do Windows antes do Windows 10 são vulneráveis se não estiverem patched para MS-17-010. Ele usa EternalBlue MS17-010 para propagar.
  • Ransom: entre US $ 300 a US $ 600. Há código para ‘rm’ (excluir) arquivos no malware. Parece resetar se o malware falhar.
  • Backdooring: O worm roda através de cada sessão RDP em um sistema para executar o ransomware como esse usuário. Ele também instala o backdoor DOUBLEPULSAR. Ele corrompe os Shadow Volume (sistema de backup) para tornar a recuperação mais difícil. (Fonte: Malwarebytes)
  • Kill switch: Se o site www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com estiver ativo, o malware sair em vez de infectar o host. (Fonte: Malwarebytes). Este domínio foi ‘sinkholed’ (quando o endereço original é redirecionado para outro), parando a propagação do worm.
  • Uma amostra descriptografada do ransomware WannaCry está disponível em: https://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE

 

O Kill Switch

Poucas horas depois dos ataques massivos, especialistas em segurança iniciaram a análise do código malicioso após uma engenharia reversa das amostras do malware disponíveis encontradas. A boa notícia surgiu a partir da primeira investigação é que os analistas de malware descobriram um o Kill switch no código ransomware, uma condição que quando fosse atingida poderia interromper a execução do código.

Tweet de Kevin Beaumont sobre o Kill switch

Os especialistas do Reino Unido no MalwareTechBlog registraram o domínio depois de fazerem uma engenharia reversa do código.

O domínio Kill Switch é iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com; O domínio foi redirecionado pela aplicação da lei. Para um servidor na Califórnia, e os administradores dos sistemas infectados chegando até o .com serão notificados, coma a mensagem. “Endereços IP do nosso sinkhole (serve para redirecionamento) foram enviados para o FBI”.

Domínio Kill Switch

Abaixo das mensagens exibidas quando uma máquina tenta conectá-lo:

“Os endereços IP do nosso sinkhole foram enviados para o FBI e ShadowServer, então as organizações afetadas devem receber uma notificação em breve”, disse o pesquisador. O InfoSec informou que registraram o domínio primeiro, então já tinha sido feito o Kill Switch. De qualquer forma, o trabalho feito.”

Especialistas do grupo Talos da CISCO fizeram uma análise interessante do ransomware WannaCry.

“O WannaCry não parece estar apenas utilizando os módulos ETERNALBLUE associados a esse framework de ataque; O mesmo está simplesmente escaneando os servidores acessíveis com a presença do backdoor DOUBLEPULSAR. Nos casos em que ele identifica um host que já foi implantado este backdoor, ele inicia a funcionalidade de backdoor existente disponível e o usa para infectar o sistema com o WannaCry.” Segundo análise da Talos. “Nos casos em que o sistema não tenha sido previamente comprometido e implantado com DOUBLEPULSAR, o malware usará ETERNALBLUE para a exploração inicial da vulnerabilidade SMB. Esta é a causa de suas atividades como worm que foi observada extensamente através do Internet.”

A Microsoft publicou um aviso de segurança para a ameaça e um patch de emergência para o Windows XP.

O gigante de TI lançou patches de segurança de emergência para o Windows Server 2003 (SP2 x64 / x86); Windows XP (SP2 x64, SP3 x86); Windows XP Embedded (SP3, x86); Bem como as versões de 32 bits e 64 bits do Windows 8.

 

Conclusão

Os seguintes aspectos do ataque maciço do ransomware devem ser considerados com cuidado:

  • Este ataque demonstra os riscos relacionados com a militarização do ciberespaço. Malware, códigos de exploração e ferramentas de hacking desenvolvidos por agências de inteligência e governos podem ser muito perigosos quando estão fora de controle.
  • O sucesso do malware é devido à postura de segurança errada das vítimas que não têm consciência da ameaça, e que não aplicou patches de segurança lançados pela Microsoft.
  • A infra-estrutura crítica moderna não é resiliente a ataques cibernéticos.

Tradução de: http://resources.infosecinstitute.com/a4-black-friday-massive-ransomware-attack-leveraging-wannacry-hit-systems-worldwide/

Sobre NullS3c

Possuo especialidade na área de computação forense. Mais informações sobre mim poderá ver em: https://www.linkedin.com/in/victor-cunha-8753073b/
  • Pedro De Souza Schultz

    Uau, se esse vírus se propagar, ferra com o mundo ;-;

Free WordPress Themes - Download High-quality Templates