>

Security Alerts - Alertas de Segurança

NOVO TIPO DE RANSOMWARE DHARMA ALARMANTEMENTE CONTINUA INDETECTÁVEL PELOS ANTIVÍRUS - 07Novembro2018


Descritivo


Pelo menos quatro novos tipos apareceram recentemente.
Nós até descobrimos um que não é detectado por quase todos os antivírus no mercado.


O ransomware Dharma é uma das famílias de ransomware mais antigas existentes e ainda assim causa estragos, não detectados pelas soluções de segurança.

Outubro e novembro viram o aparecimento de pelo menos quatro novas linhagens.

Descobrimos um que não é detectado por quase todos os mecanismos antivírus no mercado.

Se esta tendência continuar, os usuários que confiam apenas no antivírus para proteção de ransomware estarão em risco de perder seus dados para sempre - não há ferramenta de descriptografia livre para as novas cepas de ransomware Dharma (CrySiS).

Este mês, o pesquisador de segurança Jakub Kroustek encontrou algumas novas variantes de ransomware Dharma que criptografaram os arquivos da vítima com uma extensão “.betta” ou “.xxxxx”. Eles pediram que o resgate fosse pago para o endereço de e-mail “backtonormal@foxmail.com” ou “syndicateXXX@aol.com”.

Apesar de Jakub Kroustek postar suas descobertas sobre o resgate @foxmail em 19 de outubro, no momento em que escrevemos sobre o tipo que descobrimos (7 de novembro), apenas 44 dos 67 antivírus detectaram o arquivo malicioso que ele descobriu, como você pode ver no VirusTotal.

Agora, em nossa pesquisa, encontramos outro novo tipo de ransomware Dharma, que não é detectado por quase todas as soluções de segurança


Desnecessário dizer que isso representa um enorme risco para os usuários domésticos e organizações sem camadas adequadas de segurança e conscientização. E sim, é o mesmo cibercriminoso ou grupo de criminosos associado ao endereço de e-mail backtonormal@foxmail.com.

Quão ruim é isso?

Apenas um único mecanismo antivírus o pega, dentre 67 listados.

Embora alguns detalhes associados a ele tenham sido sinalizados por pesquisadores como maliciosos por quase 2 anos, devido à natureza do ransomware Dharma, os níveis de detecção são extremamente baixos.


Mesmo quando se usa a ferramenta de verificação de malware Jotti, apenas 1 dos 15 scanners de malware detecta esse perigoso tipo de ransomware.

Nossa própria investigação começou com um exe mal-intencionado lançado através de um arquivo .NET e outro arquivo HTA associado, que, uma vez descompactado, direciona a vítima a pagar um resgate de Bitcoin para o endereço de e-mail backtonormal@foxmail.com.

Verificamos novamente o arquivo HTA usando o ID-ransomware, uma ferramenta que avalia a nota de resgate, e o resultado veio como pertencente ao Dharma (família de ransomware .cezar).


O pesquisador de segurança Michael Gillespie alertou para a intensificação em 2017. Agora, ele também encontrou um tipo Dharma Ransomware que usa um conta-gotas .NET para se espalhar. Uma vez que ele atinge um dispositivo desprotegido, ele criptografará todos os arquivos com uma extensão ".tron", exigindo que o pagamento seja feito nos endereços de e-mail xtron@cock.li ou xtron@fros.cc.

Ele enviou as descobertas para o VirusTotal em 6 de novembro e, no momento em que este alerta de segurança foi escrito, apenas 28 dos 66 mecanismos antivírus eram capazes de detectar esse arquivo malicioso.

O que aconteceu?



Como descrevemos acima, a partir de agora, 7 de novembro, apenas 1 de 67 mecanismos antivírus pode detectar esse tipo de ransomware Dharma. Para outras descobertas, a detecção de antivírus ainda está muito atrasada, devido à natureza da infecção.


Como a infecção acontece:


De nossa investigação até agora, o vetor de infecção para este ransomware Dharma em particular tem sido o RPD do Windows (Remote Desktop Protocol). O executável mal-intencionado não explora vulnerabilidades, mas usa um comportamento semelhante a um cavalo de Tróia.

Agentes mal-intencionados usarão ferramentas como scanners de portas remotas para escanear computadores corporativos, procurando endpoints habilitados para RDP que os funcionários usem normalmente para fazer o login de casa.

Então, quando eles encontrarem um endpoint habilitado para RDP, os criminosos tentarão logar adivinhando o nome do administrador e usando a força bruta para a senha. Quando isso acontecer, os criminosos copiarão e executarão este tipo de ransomware. Como eles geralmente têm direitos de administrador, os criminosos podem até desativar essas proteções, portanto senhas fortes são essenciais.

Os tipos de ransomware Dharma associadas ao endereço de pagamento do resgate backtonormal@foxmail.com codificarão formatos de dados, incluindo, mas não se limitando a:

.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, .sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps.


A maioria das infecções por ransomware Dharma ocorre localmente e os tipos que descobrimos seguem o mesmo padrão

E aí vem a pior notícia: mesmo que você pague o resgate, o invasor não descriptografará seus arquivos.


Essa variedade de malware e outros semelhantes nunca tentarão se conectar a centros de comando e controle mal-intencionados. Ele gerará sua chave de criptografia localmente, sem enviá-la de volta ao atacante, por isso é uma chave falsa.



Como se manter seguro do ransomware Dharma:



A única maneira de estar seguro contra ransomware é defender proativamente seus dispositivos fazendo backup de suas informações com frequência e usando várias camadas de segurança, não apenas antivírus. Para o ransomware Dharma em particular, senhas fortes e autenticações de dois fatores são obrigatórias, pelas razões descritas acima


Os mais recentes tipos de ransomware Dharma (CrySis) não possuem ferramentas de descriptografia disponíveis, então, neste caso, a prevenção supera a cura. Para segurança online, recomendamos que você siga estas medidas de segurança anti-ransomware:

  • Sempre faça backup de seus dados em vários locais. Use fontes externas, como um disco rígido ou na nuvem (Google Drive, Dropbox, etc.) para armazená-lo. Nosso guia mostrará a você como fazer isso;
  • Sempre mantenha seu software atualizado para as versões mais recentes, já que malwares e ransomwares geralmente têm como alvo programas e aplicativos desatualizados
  • Mantenha senhas fortes para qualquer conta que você usa, seja pessoal ou em um ambiente de negócios. Em um nível corporativo, o Dharma ransomware pode comprometer um endpoint através de ataques de força bruta, a fim de obter acesso e executar o arquivo malicioso
  • NÃO abra e-mails com spam ou baixe ou copie anexos, links ou arquivos de fontes desconhecidas que possam infectar seu computador;
  • Para proteção contra tipos comuns de ransomware, considere o uso de várias camadas de segurança. O antivírus deve ser a base, mas você também deve ter soluções de segurança pró-ativas e antimalware com análise comportamental. Seu navegador deve ter proteções como adblockers no lugar
  • Caso você seja infectado pelo ransomware (Dharma ou outros arquivos), antes de tentar descriptografar, copie seus arquivos criptografados e mantenha uma cópia segura. Dessa forma, se uma ferramenta de descriptografia de ransomware se tornar disponível no futuro, você poderá restaurar seus arquivos

Artigo traduzido do blog da Heimdal Security onde pode ser encontrado em seu estado original clicando aqui.






TrickBot de volta - 30Maio2018


Descritivo


Trickbot, o Trojan bancário que já existe há algum tempo, parece ser persistente e faz novamente a sua aparição no mundo.


Recentemente, pesquisadores de segurança descobriram uma nova campanha de spam em que cibercriminosos decidiram ter como alvo um grande banco europeu, o Lloyds Bank com um ataque de spoofing. ATENÇÃO: Já existe a versão com bancos brasileiros deste Trojan!

Nesta recente campanha de spam, atores maliciosos atraem as vítimas a clicar em um link onde um documento word nocivo (recebido via email), que finge vir do site legítimo do Lloyds Bank, mas que na verdade vem de um site falso que se parece com o verdadeiro, é baixado no micro da vítima.

O email tem os seguintes detalhes (sanitizado para sua própria proteção):

From: Lloyds Bank

Subject line: Lloyds Bank Secure Exchange: New Message Received

Content:

< This is a Lloyds Bank secure, encrypted message.
Desktop Users:
Open the attachment (message_zdm.html) and follow the instructions.
Mobile Users:
Get the mobile application.
Disclaimer: This email and any attachments are confidential and for the sole use of the recipients. If you have received this email in error please notify the sender.
Email Security Powered by Voltage IBE(tm) >

Veja aqui a imagem do email falso:

SecurityAlert

Fonte: MyOnlineSecurity.co.uk


Como a Infecção funciona


Se alguém é convencido a clicar no anexo malicioso, ele baixa o seguinte:

https: // lloyds-dl [.]com /AccountDocuments [.] docx ,

e o usuário será na verdade redirecionado a baixar um arquivo RTF usando as vulnerabilidades Microsoft Equation Editor.

Atacantes exploram a vulnerabilidade Microsoft Office Memory Corruption (CVE-2017-11882) tentando controlar remotamente o computador de uma vítima através de um outro servidor que é controlado por eles. Caso a vítima abra o arquivo RTF, ele liberará um código arbitrário que inicia um arquivo executável do servidor remoto.

Depois, baixará o binário do Trickbot deste endereço:

http : / /rsaustria [.] com/soperos [.] bin

que é um arquivo .exe renomeado. Os atores maliciosos usam

C:\Users\username\AppData\Roaming\freenet\

para os locais do arquivo, módulo e configurações, dizem os pesquisadores. Mais detalhes técnicos podem ser encontrados aqui em inglês.

Heimdal Security bloqueia proativamente esses domínios, então todos os usuários do Heimdal PRO e Heimdal CORP estão protegidos.

De acordo com o site VirusTotal, apenas 13 produtos antivirus dentre 60 existentes tiveram capacidade de detectar esta campanha de emails até o momento em que escrevemos este alerta de segurança (30 maio 2018 - 01:12:21 UTC).

SecurityAlert


Como estar seguro contra o Trickbot


O Trickbot é conhecido por seus recursos de trojan bancário e pelas várias técnicas de phishing usadas pelos criminosos cibernéticos para induzir os usuários a visitar websites de onde podem roubar suas credenciais valiosas.

Por isso recomendamos:

  • Mantenha sempre seu sistema operacional e todos os seus aplicativos e outros programas atualizados;
  • Mais uma vez, nós realçamos: NÃO ABRA emails ou clique em arquivos/anexos suspeitos. Seja bastante cuidadoso!
  • Mantenha um backup com todos os seus dados importantes em fontes externas como um HD externo ou mesmo na nuvem (Google Drive, Dropbox, etc.);
  • Estabelecer uma boa e forte senha é um dos melhores conselhos dados pelos especialistas em segurança, se precisar de ajuda contate-nos;
  • Tente executar os programas sem privilégios administrativos e desabilite as macros no pacote Microsoft Office;
  • Assegure-se de ter um antivirus confiável instalado e atualizado para detectar ameaças;
  • Seria muito mais seguro adicionar várias camadas de proteção e usar um software de segurança proativo como o Heimdal PRO ou CORP;
  • Prevenção é a melhor cura.


Não encontrou o que desejava?

Mande-nos um email que teremos prazer em responder!

heimdal@security.com.br