Como a inteligência artificial pode ajudar a prevenir malware

Zeus Kerravala - CSO (EUA)

11 de Outubro de 2017 no site Computerworlsd

A abordagem tradicional da luta contra malwares sempre foi reativa. Um novo ataque é lançado, infecta algumas empresas e os fornecedores de antivírus correm para emitir uma atualização. Algumas companhias conseguem obtê-la antes que o malware faça seu caminho, mas muitas não. Obviamente, esta não é uma situação ideal, pois os bons sempre estão perseguindo os bandidos.

Se você fosse Marty McFly poderia disparar o antigo capacitor de fluxo com 1,2 Gigawatts de energia, avançar no tempo e trazer as atualizações para você, então você estaria pronto para o WannaCry, o Qakbot ou, o meu favorito, o Zeus. Felizmente, há uma maneira mais real de parar os ataques antes que eles afetem qualquer pessoa: usando sistemas baseados em inteligência artificial (AI). Ransomwares estão abalando o mundo corporativo: É preciso estar antenado com as novas práticas dos cibercriminosos, entenda com a Kaspersky e aprenda a se defender Patrocinado 

A empresa de segurança Cylance recentemente começou a mostrar o fato de que seus clientes estão protegidos das ameaças atuais, mesmo com modelos mais antigos. Eles têm chamado a abordagem de "Vantagem preditiva Cylance". Apesar da Cylance ter cunhado tal abordagem, todos os fornecedores de segurança baseados em IA operaram de forma semelhante.

Hoje, a IA e a aprendizagem de máquinas estão sendo usadas para alimentar mais coisas em nossas vidas do que estamos conscientes. A Amazon sabe o que as pessoas querem comprar, veículos autônomos podem distinguir a diferença entre uma árvore e uma pessoa, e as análises de vídeos podem escolher um terrorista fora da multidão - tudo alavancando o aprendizado da máquina. A razão pela qual precisamos confiar em uma IA em vez de pessoas é devido as enormes quantidades de dados que precisam ser processadas e da velocidade com que as máquinas podem analisar dados e conectar os pontos.

Combater malware não é diferente. Manter-se à frente dos criminosos não pode ser mais feito de forma manual. Exige procurar entre petabytes de dados bons e maus. Por exemplo, a Cylance analisou milhões de recursos em mais de bilhões de arquivos. Isso é possível hoje porque a nuvem fornece um poder de computação quase infinito. A empresa de cibersegurança alavanca mais de 40 mil núcleos na nuvem da Amazon (AWS) para executar seu modelo maciço e complexo e seu algoritmo que pode encolher o modelo para funcionar de forma autônoma em um PC ou laptop.

Um dos fatos menos conhecidos sobre malware é que geralmente é derivado do código existente e modificado um pouco para evadir a maioria das soluções baseadas em assinaturas. Cada tipo de malware deixa uma assinatura identificável, portanto, se dados suficientes forem coletados e analisados, os dados bons e os maus podem ser diferenciados. 

Mais importante ainda, os sistemas baseados em IA podem proteger as empresas de ameaças futuras, executando um número quase infinito de simulações de malwares conhecidos, permitindo, efetivamente, que se preveja o malware antes de ter sido criado.

Para provar isso, o Cylance executou seu código contra o WannaCry e descobriu que a versão usada em novembro de 2015 teria bloqueado o ataque, quase 18 meses antes do lançamento do mesmo. Isso evitaria que alguma empresa tenha que ser o "paciente zero", aquele que primeiro relata um problema. Outro exemplo: o modelo da Cylance em outubro de 2015 teria parado o ransomware Zcryptor, sete meses antes do lançamento do ataque.

É hora de as empresas levarem a luta aos cibercriminosos e mudar para um modelo de segurança baseado em IA que possa proteger a organização sem exigir que outras companhias sejam incluídas antes que o processo de remediação, sequer, possa começar.

Warning: Two Dangerous Ransomware Are Back – Protect Your Computers

Swati Khandelwal
Em 15/08/2017 no site The Hacker News

Ransomware has been around for a few years but has become an albatross around everyone's neck—from big businesses and financial institutions to hospitals and individuals worldwide—with cyber criminals making millions of dollars.

In just past few months, we saw a scary strain of ransomware attacks including WannaCry, Petya and LeakerLocker, which made chaos worldwide by shutting down hospitals, vehicle manufacturing, telecommunications, banks and many businesses.

Before WannaCry and Petya, the infamous Mamba full-disk-encrypting ransomware and the Locky ransomware had made chaos across the world last year, and the bad news is—they are back with their new and more damaging variants than ever before.

Diablo6: New Variant of Locky Ransomware

First surfaced in early 2016, Locky has been one of the largest distributed ransomware infections, infecting organisations across the globe.

By tricking victims into clicking on a malicious attachment, Locky ransomware encrypts nearly all file formats on a victim's computer and network and unlocks them until the ransom in Bitcoins is paid to attackers.

The ransomware has made many comebacks with its variants being distributed through Necurs botnet and Dridex botnet.

This time security researchers have discovered a fresh spam malware campaign distributing a new variant of Locky known as Diablo6 and targeting computers around the world, with the United States being the most targeted country, followed by Austria.

An independent security researcher using online alias Racco42 first spotted the new Locky variant that encrypts files on infected computers and appends the .diablo6 file extension.

Like usually, the ransomware variant comes in an email containing a Microsoft Word file as an attachment, which when opened, a VBS Downloader script is executed that then attempts to download the Locky Diablo6 payload from a remote file server.

The ransomware then encrypts the files using RSA-2048 key (AES CBC 256-bit encryption algorithm) on the infected computer before displaying a message that instructs victims to download and install Tor browser; and visit the attacker's site for further instructions and payments.

This Locky Diablo6 variant demands a sum of 0.49 Bitcoin (over $2,079) from victims to get their files back.

Unfortunately, at this time it is impossible to recover the files encrypted by the .Diablo6 extension, so users need to exercise caution while opening email attachments.

Return of Disk-Encrypting Mamba Ransomware

Mamba is another powerful and dangerous kind of ransomware infection that encrypts the entire hard disk on an affected computer instead of just files, leaving the system totally unusable unless a ransom is paid.

Similar tactics have also been employed by other ransomware attacks, including Petya and WannaCry, but the Mamba ransomware has been designed for destruction in corporates and other large organisations, rather than extorting Bitcoins.

Late last year, Mamba infected the San Francisco's Municipal Transportation Agency (MUNI) system's network over the Thanksgiving weekend, causing major train delays and forcing officials to shut down ticket machines and fare gates at some stations.

Now, security researchers at Kaspersky Lab have spotted a new campaign distributing Mamba infections, targeting corporate networks in countries, majorly in Brazil and Saudi Arabia.

Mamba is utilising a legitimate open source Windows disk encryption utility, called DiskCryptor, to fully lock up hard drives of computers in targeted organisations. So, there is no way to decrypt data as the encryption algorithms used by DiskCryptor are very strong.

Although it's not clear how the ransomware initially finds its way into a corporate network, researchers believe like most ransomware variants, Mamba might be using either an exploit kit on compromised or malicious sites or malicious attachments sent via an email.

The ransom note does not immediately demand money, rather the message displayed on the infected screen only claims that the victim's hard drive has been encrypted and offers two email addresses and a unique ID number to recover the key.

Here's How to Protect Yourself From Ransomware Attacks

Ransomware has become one of the largest threats to both individuals and enterprises with the last few months happening several widespread ransomware outbreaks.

Currently, there is no decryptor available to decrypt data locked by Mamba and Locky as well, so users are strongly advised to follow prevention measures in order to protect themselves.

Beware of Phishing emails: Always be suspicious of uninvited documents sent over an email and never click on links inside those documents unless verifying the source.

Backup Regularly: To always have a tight grip on all your important files and documents, keep a good backup routine in place that makes their copies to an external storage device that is not always connected to your PC.

Keep your Antivirus software and system Up-to-date: Always keep your antivirus software and systems updated to protect against latest threats.

Hackers Behind WannaCry Ransomware Withdraw $143,000 From Bitcoin Wallets

Mohit Kumar
Em 03/08/2017 no site The Hacker News

The cyber criminals behind the global WannaCry ransomware attack that caused chaos worldwide have finally cashed out their ransom payments.

Nearly three months ago, the WannaCry ransomware shut down hospitals, telecom providers, and many businesses worldwide, infecting hundreds of thousands of computers in more than 150 countries, encrypting files and then charging victims $300-$600 for the keys.

WannaCry was really bad, as the nasty ransomware forced the British NHS (National Health Service) to shut down hospitals and doctor's surgeries, and infected a Spanish telecommunications company and Russian mobile operator, among much more.

Even a month after the outbreak, the WannaCry ransomware was found infecting systems at Honda Motor Company, forcing the factory to shut down its production, and 55 speed and traffic light cameras in Victoria, Australia.

Overall, the hackers behind WannaCry made $140,000 in Bitcoins from the victims who paid for the decryption keys—but for almost three months, they did not touch three of their wallets where victims were instructed to send ransom payments.

However, the WannaCry hackers started cashing out their cryptocurrencies on Wednesday night.

According to a Twitter bot tracking WannaCry ransom payments, only 338 victims paid the $300 in Bitcoin that totalled $140,000.

On Wednesday night, this money was withdrawn in 7 different payments within 15 minutes, although it is not clear where the money is being sent, or how the attacker will use it.

If you are unaware, we recently reported about Google's research on how cyber criminals and ransomware hackers cash out their stolen or looted cryptocurrencies via cryptocurrency exchanges that are involved in money laundering.

Last week, even German authorities arrested an alleged operator of the popular BTC-e Bitcoin exchange on charges of laundering over $4 billion in Bitcoin for culprits involved in hacking attacks, tax fraud and drug trafficking without identifying them.

The identity behind the WannaCry ransomware is still unknown, though some researchers traced back WannaCry to a state-sponsored hacking group called Lazarus in North Korea, while other believed the perpetrators might be Chinese.

The WannaCry epidemic was using self-spreading capabilities by leveraging leaked NSA's SMBv1 exploit, called EternalBlue, to infect vulnerable Windows computers, particularly those using older versions of the operating system.

While most of the affected organisations have now returned to normal, law enforcement agencies across the world are still on the hunt.

WannaCry Inspires Banking Trojan to Add Self-Spreading Ability

Swati Khandelwal
Em 02/08/2017 no site The Hacker News.

Although the wave of WannaCry and Petya ransomware has now been slowed down, money-motivated hackers and cyber criminals have taken lessons from the global outbreaks to make their malware more powerful.

Security researchers have now discovered at least one group of cyber criminals that are attempting to give its banking Trojan the self-spreading worm-like capabilities that made recent ransomware attacks go worldwide.

The new version of credential stealing TrickBot banking Trojan, known as "1000029" (v24), has been found using the Windows Server Message Block (SMB)—that allowed WannaCry and Petya to spread across the world quickly.

TrickBot is a banking Trojan malware that has been targeting financial institutions across the world since last year.

The Trojan generally spreads via email attachments impersonating invoices from a large unnamed "international financial institution," but actually leads victims to a fake login page used to steal credentials.

Last week, researchers at Flashpoint, who've been continually tracking TrickBot activities and its targets, have discovered that the TrickBot Trojan has just been evolved to spread locally across networks via Server Message Block (SMB).

Since the new version of TrickBot is still being tested, the new features are not fully implemented by the hacking gang behind the Trojan. It also doesn't have the ability to randomly scan external IPs for SMB connections, unlike WannaCry which exploited a vulnerability dubbed EternalBlue.

Flashpoint researchers said the trojan is modified to scan domains for lists of vulnerable servers via the NetServerEnum Windows API and enumerate other computers on the network via Lightweight Directory Access Protocol (LDAP).

The new TrickBot variant can also be disguised as 'setup.exe' and delivered through a PowerShell script to spread through interprocess communication and download additional version of TrickBot onto shared drives.

According to the researchers, the latest discovery of new TrickBot variant provides an insight into what the operators behind the malware might be using in the near-future.

"Flashpoint assesses with moderate confidence that the Trickbot gang will likely continue to be a formidable force in the near term," said Vitali Kremez, director of Research at Flashpoint. 

"Even though the worm module appears to be rather crude in its present state, it's evident that the Trickbot gang learned from the global ransomware worm-like outbreaks of WannaCry and 'NotPetya' and is attempting to replicate their methodology."

In order to safeguard against such malware infection, you should always be suspicious of unwanted files and documents sent over an email and should never click on links inside them unless verifying the source.

To always have a tight grip on your valuable data, keep a good backup routine in place that makes their copies to an external storage device that is not always connected to your PC.

Moreover, make sure that you run an effective anti-virus security suite on your system, and keep it up-to-date.

Cuidado com o SLocker, o mobile ransomware que copia o WannaCry

Da Redação CIO

Publicada em 07 de julho de 2017 

Tecmundo

A SLocker, nova variante de ransomware para dispositivos móveis detectada no mês passado, está tirando o sono de muitos profissionais de segurança. 

A família SLocker é uma das mais antigas de bloqueio de tela de dispositivos móveis e criptografia de arquivos. Depois de permanecer alguns anos na surdina, teve um ressurgimento repentino em maio passado. Nomeada pela Trend Micro como ANDROIDOS_SLOCKER.OPST, essa nova variante copia a interface gráfica de um dos ransomware mais comentados nos últimos meses, o WannaCry e é notável por ser um das primeiras a criptografar arquivos do Android.

Este ransomware se passa por guias de jogos, players de vídeo, e assim por diante, para fazer com que uma nova vítima o instale. 

Quando instalado pela primeira vez, seu ícone se parece com um guia normal de jogo. Quando o ransomware é executado, o aplicativo altera o ícone e o nome e o papel de parede do dispositivo infectado. Depois, envia um anúncio de atividade desativada para "com.android.tencent.zdevs.bah.MainActivity". Em seguida, muda seu ícone desativando a atividade original e ativando um comando alias.​

E como o SLocker criptografa os arquivos?Quando o ransomware é instalado, ele verificará se já foi executado antes. Se não foi, ele gerará um número aleatório e vai armazená-lo em SharedPreferences, que é o local onde os dados permanentes do aplicativo são salvos.

Em seguida, ele localiza o diretório de armazenamento externo do dispositivo e inicia um novo tópico.

O tópico passará pelo diretório de armazenamento externo para encontrar arquivos que atendam requisitos específicos:

·   Os caminhos com letras minúsculas para arquivos-alvo não deve conter “/.”, “android”, “com.” e “miad”;

·   Com o armazenamento externo como diretório-raiz, os arquivos devem estar em diretórios de nível menor que três ou caminhos com letras minúsculas que contenham “baidunetdisk”, “download” ou “dcim”;

·   O nome do arquivo deve ter “.” e o tamanho do nome do arquivo criptografado deve ser menor que 251;

·   O arquivo deve ser maior que 10 KB e menor que 50 MB. 

A Trend Micro verificou que o ransomware evita criptografar arquivos do sistema, focando em arquivos baixados e imagens e apenas criptografa arquivos que tenham sufixos (arquivos de texto, fotos e vídeos). Quando um arquivo que atende a todos os requisitos é encontrado, o tópico usará o ExecutorService para executar uma nova tarefa.

A nova tarefa usará um método chamado "getsss" para gerar uma cifra com base em um número aleatório gerado anteriormente. Este método calcula o MD5 do número aleatório e seleciona 16 caracteres como uma string a partir da representação hexadecimal do MD5.

Depois do string ser gerado, o ransomware vai alimentar o SecretKeySpec para gerar uma senha final para AES antes de usá-lo para criptografar arquivos.

Após o arquivo ser criptografado, um sufixo será adicionado ao nome do arquivo que conterá um número QQ usado para gerar a cifra.

O ransomware mostra para as vítimas três opções para pagar o resgate, mas na amostra analisada pela Trend Micro, as três levaram ao mesmo código QR que pede que as vítimas paguem pela QQ (um popular serviço chinês de pagamento em celulares).

Se as vítimas se recusarem a pagar após três dias, o preço do resgate aumentará. Em uma semana, ele ameaça excluir todos os arquivos.

O ransomware diz às vítimas que uma senha de descriptografia será enviada após o resgate ter sido pago. Através da análise da Trend Micro, descobriu-se que se as vítimas inserem a chave e clicam no botão Decrypt, o ransomware compara a senha digitada com o valor no MainActivity.m.

 Soluções e RecomendaçõesComparado aos ransomwares vistos antes, este ransomware é relativamente simples. Na verdade, é bastante fácil para um engenheiro de segurança reverter o ransomware e encontrar uma maneira de decodificar arquivos.

No entanto, a proliferação de novas variantes de forma tão rápida mostra que o número de cibercriminosos não está diminuindo. Mesmo que um suspeito tenha sido preso, um ransomware mais avançado pode estar prestes a surgir.

Para manter as informações do seu dispositivo protegidas, veja abaixo algumas dicas para ficar longe de ransomwares:

·  Só instale aplicativos baixados de lojas legitimas, tais como o Google Play;

·  Tome cuidado com permissões solicitadas por apps; principalmente permissões que permitam que o app leia/modifique o armazenamento externo;

·  Faça back-up dos seus dados de forma regular – seja em outro dispositivo ou em uma nuvem;

· Instale um antivírus abrangente. Soluções de proteção como o Trend Micro™ Mobile Security bloqueia as ameaças dos aplicativos antes que possam ser instalados e danificar o dispositivo, já o Trend Micro™ Maximum Security oferece uma forte proteção para vários dispositivos e os protege de forma proativa contra ameaças de  ransomware.

WannaCry começa a doer no bolso da Microsoft

Convergência Digital* ... 03/07/2017

O estrago do ransomware WannaCry, que abalou o mundo no dia 12 de maio e atingiu milhares de PCs, vai pesar no bolso da Microsoft. A Índia está pressionando para que a empresa ofereça um grande desconto no Windows para os mais de 50 milhões de usuários do país. O objetivo é que eles possam atualizar seus computadores para a versão mais recente do sistema operacional Windows 10 após a série de ciberataques que tem atingido o mundo nos últimos meses, reporta a Agência Reuters.

Funcionários da Microsoft na Índia "concordaram em princípio" com o pedido, disse Gulshan Rai, coordenador de segurança digital da Índia, à Reuters por telefone nesta sexta-feira (30). Uma porta-voz da Microsoft na Índia se recusou a comentar o assunto. Funcionários na sede da empresa nos Estados Unidos e na sede regional na Ásia também não se pronunciaram.

Precedente

Caso concorde com o desconto, a Microsoft poderá ficar suscetível a pedidos semelhantes de todo o mundo. Gulshan Rai diz que o governo indiano está em negociações com a administração da Microsoft na Índia. Não ficou imediatamente claro se outros países buscam acordos similares. Rai afirma que a Índia começou a conversar com a Microsoft após o ataque promovido pelo vírus WannaCry em maio. Ele conta que tanto o WannaCry quanto o ataque desta semana, apelidado por alguns especialistas de NotPetya, explora vulnerabilidades de versões antigas do Windows.

"Será uma oferta única de atualização para o Windows 10 e será um preço com desconto para todo o país", diz Rai, que foi escolhido pelo primeiro-ministro indiano, Narendra Modi, para ser o primeiro chefe de segurança digital do país. O governo também trabalha com bancos para garantir que cerca de 200 mil dos mais de 240 mil caixas eletrônicos no país, a maioria dos quais rodam versões mais antigas do Windows XP, fossem atualizados com reforços de segurança lançados pela Microsoft após o ataque WannaCry, diz Rai.

Petya foi criado por hackers experientes e não é apenas uma variante do WannaCry

Convergência Digital* ... 28/06/2017

The Hacker News

O ransomware Petya não é uma simples variante que apenas utiliza as técnicas de propagação já estabelecidas pelo WannaCry.O ataque parece ter sido inicialmente planejado como um ataque direcionado, com origem em uma falha de atualização da infraestrutura do software de contabilidade ucraniano conhecido como MEDoc (aparentemente assumido pelo website, mas categoricamente negado pela MEDoc no Facebook).

Este ataque de island-hopping, que começa com um fornecedor pequeno de software, cujo produto é obrigatório para as empresas que pagam impostos na Ucrânia, pode ter sido alvo especificamente nesse país. No entanto, como em qualquer ataque direcionado comum, houve danos colaterais, reportam especialistas da Trend Micro. O fato de que o malware estava configurado para aguardar cinco dias antes de ser acionado no dia 27 de junho, um dia antes de um feriado público ucraniano, também tem um peso circunstancial de que o ataque foi direcionado principalmente às vítimas na Ucrânia.

Algumas importantes vítimas globais, tais como WPP, Maersk e Saint-Gobain, por exemplo, possuem escritórios e operações na Ucrânia e provavelmente são usuários do MEDoc. Além disso, a Rosneft, empresa petrolífera estatal russa, embora não seja necessariamente usuária do software, ainda assim conta com presença na Ucrânia e, portanto, pode estar exposta ao MEDoc através de sua rede. Mas o Petya está se proliferando. Nesta quarta-feira, 28/06, houve relatos de danos em computadores e paralisação de operações em portos de vão de Mumbai a Los Angeles. Uma fábrica de chocolate também interrompeu a produção na Austrália.

Os criadores deste malware em particular são claramente qualificados e experientes, tendo em vista que usaram o código do Petya, reutilizaram exploits usadas pelo WannaCry, adicionaram capturas de hash de senhas e mais duas outras técnicas de propagação de rede, com o ofuscamento de código e certificados falsos da Microsoft. De acordo com a Trend Micro, o ataque da variante do ransomware PETYA foi motivado por dinheiro, mas algo vai na contramão dessa dedução: o mecanismo de pagamento do resgate. Isso porque ele depende de uma única carteira de Bitcoin com código imutável (hard-code). 

Em seguida, o ID da carteira de bitcoin da vítima e a "chave de instalação pessoal" (69 caracteres que não podem ser copiados/colados) são enviados a um e-mail rapidamente desligado pela empresa de hospedagem Posteo, com sede em Berlim. Fato é que WannaCry e Petya assustam. Tanto é assim que o porta-voz do Kremlin, Dmitry Peskov, reforçou a necessidade de uma ação internacional coordenada para combater o crime virtual.

Já para o ex-vice-diretor de inteligência e operações cibernéticas do britânico centro de comunicações do governo (GCHQ, na sigla em inglês) e hoje diretor-gerente da empresa de segurança particular PGI Cyber, Brian Lord, o propósito do ataque mais parece ter sido para causar interrupções do que para pedir resgates. A A ESET, uma companhia eslovaca que vende produtos para proteger computadores de vírus, disse que 80% das invasões detectadas em sua base de clientes global aconteceram na Ucrânia e que a Itália foi a segunda mais afetada, com cerca de 10%.

*Com agências Internacionais

Ataque do WannaCry obriga Honda a interromper produção em fábrica de carros no Japão

Da Redação Computerworld em 21/06/2017.

A Honda Motor anunciou nesta quarta-feira que interrompeu a produção de sua fábrica no Japão, ainda como consequência do ataque cibernético que causou problemas no mundo inteiro no mês passado. Segundo informe da empresa, a fábrica de Saitama, que fica bem próximo a Tóquio, teve suas máquinas desligadas na segunda-feira e só voltou a funcionar na terça.

A montadora descobriu no domingo passado que o sistema operacional de controle de produção da fábrica havia deixado de responder por ter sido infectado pelo WannaCry, ransomware que criptografa arquivos de computador e os torna inacessíveis até que os usuários paguem um resgate. A fábrica de Saitama produz modelos como o Sedã Accord, a minivan Odyssey e o Step Wagon — ao todo, mil veículos são produzidos por dia. Honda também confirmou a infecção em fábricas no exterior, mas disse que não afetou a produção.

O ataque cibernético causado pelo WannaCry, no mês passado, atingiu cerca de 200 mil computadores em pelo menos 150 países do mundo. Japão, América do Norte, Europa e China estiveram entre as áreas atingidas.

A planta da Nissan Motor em Sunderland, na Inglaterra, também teve a produção interrompida pelo vírus. No Japão, os sistemas de computação da Hitachi foram paralisados pelo ataque e um computador do escritório local da East Japan Railway Co. foi infectado. As operações de trem não foram afetadas.