WannaCry: As razões por detrás de um RansomWare

Os motivos não poderiam ser mais graves que os enfrentados hoje. Um poderoso vírus se espalha a uma impressionante velocidade e em força. Sequestra computadores, e sim!! Evitamos mesmo as aspas, porque ele sequestra mesmo. Obrigando as suas vitimas ao pagamento duma especie de coima em Bitcoins a moeda virtual digital criada por uma figura que de tão sinistra até faria o grafiteiro Britânico Banksy morrer de inveja.

Vírus que sequestram os dados dos computadores e pedem resgates, os chamados RansomWares, não são uma novidade, existem aos montões. Em Angola, pelo menos em uma vez pediram-me que auxiliasse uma situação desse tipo. Não são tão vulgares por aqui. Os seus criadores querem dinheiro e por isso escolhem a dedo os seus alvos. Africa, com excepção da Africa do Sul, não é ainda um mercado bastante atrativo. O seu burocrático sistema financeiro não facilita os pagamentos que os seus criadores tanto anseiam.

Este tipo de ameaça parece ter surgido na Russia por volta do meio da década de 2000. A principio as primeiras versões limitavam-se a comprimir arquivos selecionados, subscreviam os originais e pediam um resgate em que a contraparte (vitima) voltaria a ter acesso aos seus documentos por meio dum pagamento de algumas centenas de dólares. Consumado o pagamento, a vitima teria então acesso a password dos ficheiros sequestrados em formato .zip.

Ora, não e que isto começou por se revelar um bom negocio? Foi a isca necessária para que jovens talentosos e desempregados das nações da Europa do Leste, incluindo Romênia e mais um pouco pelo Médio Oriente, abrangendo a Turquia, encontrassem ali o ganha-pão que tanto ansiavam, esgotado que se mostrava o ‘modelo antigo de financiamento’ através de invasão a bancos, sistemas financeiros e afins. Sabe-se que estes últimos estavam cada vez mais a sofisticar-se e a ganhar experiencia de combate contra hackers.

Com as mentes brilhantes a funcionar e a enveredarem pelo ‘negocio’ era só uma questão de tempo para que se notassem esquemas de sofisticação intrigantes.

O surgimento dos Police Ransomware

Os métodos de massificação de infecção das vitimas por RansomWare contam sempre com uma modalidade não técnica, mas sim psicológica do hacking, conhecida como engenharia social. Nela as vitimas são induzidas a realizarem uma acção por meio duma mensagem falsa (fake news) e geralmente com conteúdo sensacionalista, alarmante ou gratificante.

simple-ransomware-infection-chain-1-1

Esquema de infecção por RansomWare

O uso de correio eletrônico falso não é uma novidade, mas estes hackers sabem que os usuários estão cada dia mais sensibilizados com o que recebem na caixa de correio eletrônico. Neste contexto, preferiam agora camuflar-se na capa de quem eles sabem que os usuários confiam. Não era raro por isso, invadirem servidores de correio eletrônico, sistemas de e-mail marketing e até websites de comercio eletrônico, onde disparavam landing pages contendo links para arquivos maliciosos, ou explorando falhas de segurança de browsers. Sao conhecidos casos de lojas de comercio eletrônico de grifes de luxo invadidas para esse fim. O mote não eh nada inocente. Eles sabem aonde encontrar quem tem poder financeiro, bastando para isso usar métodos de Geolocation das API’s (Application Programming Interfaces) de seu interesse e assim produzirem a mensagem correcta na língua nativa da vitima.

O aparecimento dos CryptoLocker’s e dos Crypto-ransomware’s

Rapidamente os sistemas de antivírus e antimalware tornaram-se mais eficazes no combate a este tipo de pragas, e os sistemas eram recuperados com alguma facilidade. Bom, foi exactamente isso que motivou o aparecimento dos CryptoLockers, algo bem diferente dos primeiros RansomWares que comprimiam os ficheiros em formato .zip com password, este facilmente desbloqueável.

Os CryptoLockers por seu lado usam criptografia forte e possuem uma certa parte vingativa. Ora, se o RansomWare é apagado, nada garante que os dados serão recuperados, porque estes estão encriptados com criptografia assimétrica, o que significa que existe uma chave para encriptar os ficheiros sequestrados e outra para desencriptar os mesmos ficheiros. Essa variante é bastante agressiva. Se um antivírus apaga o RansomWare, o que eh expectável, o RansomWare activa um contador regressivo no wallpaper do ambiente de trabalho ou uma janela de Graphical User Interface (GUI) do computador . Se a vitima durante esse período (que podem ser alguns dias) não realizar um determinado pagamento dum determinado montante, simplesmente perde a possibilidade de recuperar os ficheiros a menos que consiga desencriptar os ficheiros encriptados com algoritmos RSA e AES+RSA (criptografia simétrica), dizem que com chaves a 2048 bits. Isso exigiria um poder de computação brutal, só acessível a centros de computação e agencias de segurança, embora alguns fabricantes de antivírus têm liberado algumas ferramentas para tal. Ora, neste caso um antivírus é inútil. O sistema não esta mais infectado, contudo, a vitima tem todos os seus ficheiros (word, excel, txt, ppt, vídeo, musica etc) bloqueados porque estão encriptados.

A sanha chega a tanto que o Wallpaper ou a mensagem do GUI do RansomWare recomenda mesmo a reinstalação do já detectado e apagado RansomWare para conseguir realizar o pagamento, sob pena da perda definitiva da possibilidade de recuperação da chave de desencriptação, findo o prazo de pagamento do resgate.

Bitcoin, a CryptoMoeda

Para evitarem riscos de rastreamento em pagamentos de resgate recebidos e rastreados pelo sistema financeiro mundial, os Hackers começaram a preferir pagamentos em CryptoMoedas (CryptoCurrencies), um tipo de dinheiro digital e encriptado, conhecidas como Bitcoins (BTC). Em Janeiro de 2016 1 BTC equivalia a 431 U$D. Em Março de 2017 já tinha valorizado a 1.082,55 U$D.

WannaCry, um novo paradigma?

Para mim a resposta é um retumbante não. Não existe nada de novo no WannaCry que possa suscitar nos especialistas um grande alarme, a não ser o facto de que temem perder o emprego por terem as redes desprotegidas negligentemente. Sabe-se que esta versão de RansomWare tem estado a infectar milhares de computadores pela Europa, Estados Unidos e America do Sul, contudo, ainda não se sabe a sua origem, nem os motivos por detrás. O que se sabe, isto sim, é que ele tira proveito duma falha do Windows para ganhar privilégios de execução ou de técnicas de infecção por e-mail, e se replicar pela rede interna por meio da exploração duma falha conhecida no protocolo SMB do Windows.

Wana_Decrypt0r_screenshot-1

A tela GUI do Vírus WannaCry

Ora, o que espanta aqui é que estas técnicas eram também utilizadas por algumas ferramentas da Agencia Nacional de Segurança dos EUA (NSA), por isso se supõe que elas poder ao estar em mãos alheias.

A existência de ferramentas automatizadas de ataque não é algo propriamente novo no mundo do hacking. Desde o inicio dos anos 90 que elas começaram a ser criadas, primeiro por Wietse Wenema e Dan Farmer, depois a Federal Bureau of Investigation (FBI) com o tenebroso farejador de pacotes Carnivore que desenvolveu-se para algo mais sofisticado com o conceito PRISM da NSA. O inicio dos anos 2000 foi a galinha dos ovos de ouro desse mercado com o aparecimento duma amalgama deles, dos mais eficientes aos mais óbvios, a maior parte a explorar falhas de segurança no Windows. As ferramentas da NSA apenas vieram a tona por meio das revelações do ex-espião Norte-Americano Eduard Snowden, entretanto foragido em Moscovo.

A culpa não pode morrer solteira

O admirável neste imbróglio é a revelação espantosa, que grandes instituições como Portugal Telecom, EDP, Ministério do Interior Russo, Hospitais Londrinos e tantas outras tenham se deixado infectar porque mantinham em funcionamento computadores sem as actualizaçoes de segurança. Ora, vejam só!! Actualizar computadores em rede é tao só mais difícil quanto são as burocracias do pessoal da administração da rede, descansadinha na tipoia dos antivírus e firewalls de borda, esquecendo por completo o usuário final, este muito mais vulnerável a actividades de crimes informáticos. De nada adianta proteger a fronteira, se o interior não esta preparado e poderia estar com uma simples actualização do sistema já a muito disponibilizado pela Microsoft. No entretanto é de notar o diminuto grau de infecção por parte de usuários singulares do Windows, o que pode ser explicado primeiro, porque os seus sistemas se actualizam automaticamente pelo Windows Update e segundo, por causa da segmentação natural das redes provedoras de serviço.

Propagacao wannacry

Como o WannaCry se espalha na rede

Neste contexto, a culpa não pode morrer solteira. Não se pode agora acusar a Microsoft de ser o menino mal comportado. Não é verdade!! Não seria até anormal encontrar copias de Windows piratas, mesmo havendo licenças disponíveis e compradas, mas que por mero capricho não foram simplesmente actualizadas. Usar copias piratas do Windows é uma faca de dois gumes. Você não tem garantia de nada, nem de reclamar com o fornecedor.

Esquemas de protecção

Proteger-se pode ser tao simples quanto a simples capacidade de nos vermos vitimas dessa situação. Isto é como na vida real: A não ser que exista uma catástrofe e elas acontecem, nunca devemos descurar os cuidados básicos: manter o sistema actualizado, não baixar arquivos potencialmente danosos, usar um browser seguro como o google chrome, não usar sites de compartilhamento duvidosos, manter um bom antivírus sempre actualizado. Para os administradores de rede, devem manter restrições ao protocolo SMB, ou corrigir as falhas dele nos dispositivos finais, devem procurar segmentar a rede por meio de VLAN’s, activar as rules adequadas nos sistemas de deteccao de intrusos (IDS) e configurar correctamente os firewalls de borda.

Anúncios

Polícia holandesa e FBI fecham botnet Shadow

Dois homens foram presos após uma operação policial conjunta entre a divisão policial de crimes de alta tecnologia da Holanda e o FBI contra a rede botnet Shadow.

Botnets são redes formadas por milhares de computadores-zumbis, infectados com malware e então utilizados para envio de spam ou disseminação de vírus. Os zumbis são controlados à distância, e simultaneamente, pelo hacker. Acredita-se que a rede Shadow possua cerca de 100 mil computadores.

Além do jovem holandês de 19 anos, responsável por manter a rede, um brasileiro foi preso acusado de tentar comprar o uso da rede. A polícia agora conta com a ajuda da firma de segurança Kaspersky Labs, que está ajudando a derrubar cada um dos pontos infectados pela botnet, noticiou o site VNUNet.

Segundo o site Digital Trends, as vítimas da rede Shadow estão sendo contatadas pela polícia holandesa e direcionadas a uma página da Kaspersky com instruções para a localização e remoção do malware que permitia controle remoto. Quem suspeitar que esteja infectado deve procurar a polícia e registrar uma ocorrência.

Para o site ZDNet, entretanto, as instruções são insuficientes e é recomendado que todos os usuários afetados realizem um exame completo de antivírus para detectar e remover qualquer código perigoso adicional que seja encontrado.

O FBI trabalha em uma campanha contra o uso criminoso das botnets, e já prendeu um adolescente neozelandês que estava programando malware para uma rede botnet.

A página da Kasperski para o Shadow é kaspersky.com/shadowbot. Recomenda-se que todos, em qualquer parte do mundo (inclusive no Brasil) visitem a página.

Fonte: Yahoo

Ataque em massa compromete 200.000 websites

Seguindo a leva dum recente ataque descoberto pela Mcfee, os investigadores da fabricante de antivirus descobriram que cerca de 200.000 websites estão comprometidos com Virus. Em sua maioria sa websites que correm versões do gerenciador de foruns PHPBB. Os atacantes embutiram um codigo Javascript nele.

Computer World lista melhores add-ins para Internet Explorer

Ha muito tempo que deixei de usar Internet Explorer, por causa dos problemas de segurança que esse browser criou. Quando detinha mais de 90% do mercado de navegadores a Microsoft deixou de investir nele e com o passar do tempo, o aumento do numero de falhas de segurança dos malwares, dos bugs etc aumentou radicalmente neste browser em parte devido ao facto do mesmo até antes do Windows Server 2003 ser kernel Space. O facto de ser Kernel Space deixou muitas empresas vitimas de invasões, ataques de Worms etc.

Com todos esses problemas o Mozilla Firefox começou a ganhar espaço. O que era um Browser desprezado ganhou terreno e continua a ganhar terreno, tornando-se neste momento no melhor Browser do mundo na minha humilde opiniao.

Mas nem por isso o Internet explorer está esquecido. A Microsoft que nao quis libertar o uso do IE 7 para as massas, acabou por perder mais um usuario (eu) que ciente dos perigos que representava estar com um Browser desactualizado por culpa dum tal de Windows Genuine Advantage teve de trocar compulsivamente para o Firefox e nao me arrependi. Passados alguns meses eis que a Microsoft libera o download para ‘todos’ usuarios sem excessao (até os seguidores do jack sparrow). E daí? Descobri que afinal o Firefox é melhor coisa que o IE.

Mas voltando a falar do IE, para quem ainda usa esse tractor a Computerworld produziu uma lista com os melhores add-ins.

Add-ins sao funcionalidades extras produzidas para os Browsers por programadores externos, tais como leitores de rss, bloqueadores de popup, listadores de videos etc.

Programas grátis para Windows. Top 10.

  • Audacity – Editor de sons. Especialmente para quem pensa iniciar em podcasts
  • Winamp – Player de musica (quem nao o conhece?). Excelente alternativa para o Itunes. Leve, boas playlists, suporta diversos formatos de musica e possui diversos plugins.
  • Trillian – Se voce for daqueles como eu que usa MSN e Yahoo Messenger o Trillian é para você. Mensageiro que suporta a maioria dos protocolos como MSN, AIM, ICQ, JABBER(G-Mail Chat), YAHOO e ainda IRC.
  • CPU-Z – Programa leve que mostra especificações da suam maquina. Por exemplo qual o nome da sua Motherboard.
  • WinRAR – Compactador e descompactador de arquivos. Um dos melhores suportando imensos tipos de formatos compactadores.
  • UltraVNC – Excelente programa que permite aceder seu computador de qualquer local. Baseado no conceito cliente/servidor.
  • TrueCrypt – Ja falei dele aqui antes. Este software permite encriptar discos logicos com diversos algoritmos de encriptação, alguns deles dos mais seguros actualmente.
  • Skype – Telefonia por Voz sobre IP (VoIP). Permite obviamente realizar chamadas de voz computador a computador. Tem também uma versao comercial com outros aditivos, mas cujo preço é bastante irrisorio para fazer seus bolsos gritarem.
  • HiJack This – Procura erros no registro do Windows, e não ha problema com ele porque ele registra todas alterações realizadas. No entanto é recomendavel alguma cautela com o seu uso.
  • SuperAntiSpyware – Procura no seu computador por Spywares conhecidos, Adwares, Malwares, Tojans, discadores, Worms, gravadores de teclas e outros tipos de ameaças.

Fonte: Chris Pirillo