VPNFilter – A propagação de malware que afetou milhares de usuários. Entenda.

VPNFilter – A propagação de malware que afetou milhares de usuários. Entenda.

Polícia federal dos EUA diz que hackers comprometeram 500 mil aparelhos em 54 países, e pede que dispositivos sejam resetados para interromper o malware e ajudar na identificação de aparelhos infectados.

 

O FBI, a polícia federal americana, emitiu um alerta informando que hackers estrangeiros propagaram um malware capaz de comprometer “centenas de milhares de roteadores de casas e escritórios”. Nomeado VNPFilter, este malware tem impacto significativo e é capaz de recolher informações que passam pelos roteadores além de torná-los inoperantes.

“O FBI recomenda a qualquer proprietário de roteadores em escritórios pequenos e casas devem resetar seus aparelhos para interromper temporariamente um malware e ajudar com a possível identificação de dispositivos infectados”, disse a agência em um comunicado oficial e também na conta do Twitter.

Post no Twitter – FBI

O VPNFilter é um malware modular altamente sofisticado que usa vários estágios para ganhar persistência, se comunicar com servidores C2 e baixar módulos adicionais de malware especializados. O primeiro estágio do malware difere da mesa categoria, típica de IoT, pois ele pode ganhar persistência no dispositivo afetado, o que significa que o dispositivo continua infectado por meio de uma reinicialização. Depois de ganhar uma posição segura, o primeiro estágio tenta localizar e baixar o segundo estágio do malware por meio de métodos redundantes, incluindo endereços IP ocultos em imagens do Photobucket e um domínio codificado. Se todos os métodos de download ativos falharem, o malware detectará um pacote de rede especial contendo mais instruções.

Entre os dispositivos afetados pelo VPNFilter, encontram-se os equipamentos dos fabricantes Linksys, MikroTik, NETGEAR e TP-Lynk.

Apenas relembrando, malwares são softwares maliciosos programados para se infiltrar em um computador alheio de forma ilícita. Vale a pena ficar atento a qualquer comportamento anormal de conexão, assim como aos links acessados em navegadores e clientes de e-mail.

Fonte: Secplicity e G1.


Cadastre-se em nossa Newsletter

Palo Alto Networks fortalece conceito de segurança como serviço.

Palo Alto Networks fortalece conceito de segurança como serviço.

Depois de anunciar o Palo Alto Networks Application Framework, plataforma integrável de firewall que permite às organizações identificar e prevenir ameaças rapidamente, a Palo Alto Networks anuncia a primeira aplicação disponível.

 

Com o conceito de market place para soluções de segurança, o Palo Alto Networks Application Framework está aberto para receber soluções de segurança conforme a necessidade do cliente, que pode consumir no formato as a service. A companhia possui parceria tecnológica com mais de 30 fornecedores de tecnologias, para o desenvolvimento de aplicações visando agregar visibilidade à plataforma. Segundo Arthur Capella, country manager da Palo Alto Networks no Brasil, outras aplicações serão lançadas a partir do segundo semestre deste ano.

Segundo o executivo, a ideia é proporcionar outra forma de se oferecer segurança ao mercado. “A ideia é incentivar essa mudança de consumo de segurança para que o usuário consuma como appliance sem ter necessariamente de investir em hardware, de forma escalada”, pontua.

Aplicações

O Magnifier é uma aplicação baseada em nuvem com recursos comportamentais analíticos e vendida como serviço por assinatura. Além disso, o produto aplica recursos de machine learning para redes, endpoints e dados na nuvem, detectando de forma precisa e prevenindo ataques, abusos internos e comprometimento destes endpoints na rede.

A ideia, segundo o engenheiro responsável pela área técnica da companhia no Brasil Daniel Bortolazo, é que as aplicações sejam abertas e toda empresa, sendo concorrente, cliente ou parceira, possa desenvolver produtos para a plataforma. “Temos parceiros tecnológicos que com os APIs abertos podem desenvolver, já que os logs ficam na plataforma”. Segundo Bortolazo, os clientes potenciais da solução são Data Centers, ambientes de IoT e de cloud.


Cadastre-se em nossa Newsletter

Até 2020, qual o futuro do mercado de soluções CASB?

Até 2020, qual o futuro do mercado de soluções CASB?

O mercado de soluções CASB está repleto de fornecedores, sendo que alguns executam bem todas as principais funções requeridas, enquanto outros optam por se concentrar em apenas algumas. Vejamos mais sobre este mercado e como ele se comportará num futuro próximo.

 

Primeiramente, você sabe o que é CASB?

O Gartner define o mercado de Cloud Access Security Broker (CASB) como produtos e serviços que fornecem visibilidade do uso geral de aplicativos em nuvem, proteção de dados e governança para aplicativos de nuvem sancionados por empresas. Essa tecnologia é o resultado da necessidade de garantir a adoção significativa de serviços em nuvem e o acesso a eles de usuários dentro e fora do perímetro seguro da empresa.O CASB fornece recursos que são diferenciados e geralmente não estão disponíveis em outros controles de segurança, como firewalls de aplicativos da Web (WAFs), gateways da Web seguros (SWGs) e firewalls corporativos. A filosofia de design do CASB reconhece que, para serviços em nuvem, o alvo de proteção é diferente: os dados são seus, mas processados ​​e armazenados em sistemas que você não possui. Os CASBs fornecem uma política e governança consistentes ao mesmo tempo em vários serviços de nuvem, para usuários e dispositivos, além de visibilidade e controle detalhados das atividades do usuário e dos dados confidenciais.

Os CASBs regem principalmente aplicativos corporativos de back-office de SaaS, como plataformas de colaboração de conteúdo (CCPs), CRM, RH, ERP, service desk e aplicativos de produtividade (ex: Salesforce, Microsoft Office 365 e Google G Suite) usados ​​por todas as verticais de negócio. Os CASBs fornecem um ponto de controle consistente e conveniente sobre a atividade do usuário e os dados do usuário em um conjunto crescente de SaaS e outros aplicativos baseados em nuvem. Eles apoiam cada vez mais o controle do uso de redes sociais corporativas e podem impor controle adicional sobre os consoles para ofertas populares de infraestrutura como serviço (IaaS), como Amazon Web Services (AWS) e Microsoft Azure. Alguns fornecedores fornecem a capacidade de estender os recursos de segurança de dados e proteção contra ameaças a aplicativos personalizados em nuvens de IaaS e de plataforma como serviço (PaaS).

 

Os quatro pilares do CASB

Como principais funções requeridas, o mercado de CASB determina que as soluções possuam como entregáveis os seguintes atributos:
  • Visibilidade. Os CASBs fornecem uma visão consolidada do uso do serviço de nuvem de uma organização e os usuários que acessam dados de qualquer dispositivo ou local. 
  • Segurança de dados. Os CASBs fornecem a capacidade de aplicar políticas de segurança centradas em dados para impedir atividades indesejadas com base na classificação, na descoberta de dados e no monitoramento das atividades do usuário quanto ao acesso destas informações confidenciais ou escalonamento de privilégios. 
  • Proteção contra ameaças. Os CASBs impedem que dispositivos, usuários e versões de aplicativos indesejados acessem os serviços de nuvem, fornecendo controles de acesso adaptáveis. 
  • Conformidade. Os mandatos de conformidade, seja da legislação do governo, regras de agências externas ou requisitos internos de conformidade, não desaparecem quando se muda para a nuvem (mesmo que uma quantidade razoável de dívida técnica no local).

 

O futuro do mercado de CASB

Até 2020, 60% das grandes empresas usarão um CASB para administrar serviços em nuvem, contra cerca de 10% do que se registra hoje. Uma outra estimativa é de que até 2020, pelo menos 99% das falhas de segurança na nuvem serão culpa do cliente.

Em busca de uma solução de CASB eficiente?

Uma pergunta comum de muitos clientes do Gartner é qual arquitetura técnica é melhor: somente API, somente proxy ou multi-modo. Não existe resposta única para essa pergunta, pois a seleção de produtos deve ser orientada por casos de uso, não por arquitetura técnica.
E com base nesta visão consultiva do Gartner, podemos formular outra pergunta tão importante quanto.

Porque não considerar uma solução CASB completa e com mais potencial do que seus concorrentes?

A arquitetura de proxy multi-protocolo Bitglass com o CASB Zero-Day assegura a proteção contra riscos conhecidos e desconhecidos de vazamento de dados e ameaças de malware, em aplicativos gerenciados e não gerenciados, bem como em dispositivos gerenciados e não gerenciados.

Reforçando a prevenção de vazamento de dados, seus mecanismos de controle de acesso e DLP são combinados com várias ações de correção que permitem estender o acesso a dados confidenciais, sem abrir mão da visibilidade e do controle. As ações de correção incluem quarentena, somente visualização, redigir, DRM, criptografar, rastrear / marca d’água e muito mais.

Conheça mais sobre a BitGlass. Aproveite também para ler a análise completa do mercado de CASB feita pelo Gartner.

 

Fonte: Gartner/BitGlass

 


Cadastre-se em nossa Newsletter

Qwerty Ransomware: O vilão é o acesso remoto?

Qwerty Ransomware: O vilão é o acesso remoto?

Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário

Descoberto originalmente pelo MalwareHunterTeam, ele é instalado manualmente pelo atacante quando via acesso remoto ao computador da vítima, pelo serviço Remote Desktop Services.

A técnica de sequestro do Qwerty, se baseia em utilizar o programa GnuPG para criptografar os arquivos do usuário no computador infectado. O GnuPG é um programa legítimo que está sendo usado ilegalmente pelo ransomware Qwerty. E o fato do Qwerty usar este programa não é bem uma novidade, pois ele já foi usado anteriormente por ransomwares como o VaultCrypt e KeyBTC.

Composto por diversos arquivos individuais,os quais para criptografar os arquivos no computador são executados simultaneamente, incluem-se o executável gpg.exe, o executável shred.exe, o arquivo de lote key.bat que gera as chaves, o arquivo run.js e o arquivo find.exe:

 

E na prática, como ele age?

O primeiro arquivo executado é o key.bat. Ele age executando vários comandos de forma sequencial para o ransomware. Quando o key.bat é executado, as chaves serão importadas.

Depois que as chaves forem importadas, o key.bat executará o arquivo run.js. Este arquivo por sua vez executará o find.exe, que é o principal componente do ransomware Qwerty.

O find.exe especificará a letra do drive que será criptografado e executará os seguintes comandos:

taskkill /F /IM sql /T
taskkill /F /IM chrome.exe /T
taskkill /F /IM ie.exe /T
taskkill /F /IM firefox.exe /T
taskkill /F /IM opera.exe /T
taskkill /F /IM safari.exe /T
taskkill /F /IM taskmgr.exe /T
taskkill /F /IM 1c /T
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
del /Q /F /S %s$recycle.bin

Em seguida ele começará o processo de criptografia de cada drive detectado com o comando abaixo:

gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”

Os arquivos criptografados receberão a extensão .qwerty depois que o processo todo for concluído. Por exemplo, uma imagem teste.jpg ficará com a extensão teste.jpg.qwerty.

Depois que os arquivos forem criptografados, o shred.exe será executado para sobrescrever os originais:

shred -f -u -n 1 “%s%s”

É importante destacar que os arquivos só são sobrescritos uma única vez, o que torna possível recuperá-los usando um software especializado em recuperação de arquivos.

O pedido de resgate do ransomware Qwerty no arquivo README_DECRYPT.txt contém instruções para que a vítima entre em contato através do email cryz1@protonmail.com para receber as informações de pagamento.

No momento não existe uma ferramenta para ajudar o usuário a desbloquear os arquivos sem pagar o resgate.

 

Fonte: Bleeping Computer

 


Cadastre-se em nossa Newsletter

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Descoberto pelo pesquisador Bart, este Ransomware é capaz de literalmente “ferrar” seu computador. Inspirado na franquia de terror, este mais nova variante do vetor de ataque foi desenvolvida para além de obter lucro com o resgate, testar as habilidades do usuário e das tecnologias de proteção do sistema.

Sua principal característica é a desativação de softwares de segurança instalados na máquina (ex: Windows Defender). E além de executar a tradicional criptografia dos arquivos, ele ainda se espalha por dispositivos de armazenamento USB, chegando em alguns casos até sobrescrever setores mestre de inicialização da máquina. Tal atividade, gera um bootloader personalizado mascarado como legítimo.

E na prática, como ele age?

Em sua primeira execução, o Annabelle configurará o Windows para que ele inicialize quando o usuário fizer logon no sistema. Após isso, ele iniciará a desativação de uma série de programas presentes, como por exemplo:

  • Process Hacker;
  • Process Explorer;
  • Msconfig;
  • Task Manager entre outros.

E não pára por ai! Ele ainda irá executar configurações alterando as entradas de registro do Windows, visando bloquear o acesso dos usuários aos aplicativos acima. Na sequência, tentará se espalhar pelo sistema utilizando arquivos autorun.inf (nas versões mais antigas). Já nas atuais, ele partirá para a criptografia direta dos arquivos.

Utilizando a chamada “chave estática”, o conteúdo bloqueado aparecerá com a extensão .ANNABELLE.

 

Após finalizada a criptografia, o Ransomware forçará a reinicialização do sistema. E no retorno da sessão, quando o usuário fizer logon será exibida a seguinte tela:

 

Como resgate, os cibercriminosos responsáveis pelo ataque cobram a quantia de 0,1 Bitcoin por arquivo.

 

Recomendamos a verificação contínua de anexos de e-mail, links recebidos por e-mail e arquivos compartilhados via pendrive, pois estas são as principais portas de entrada destas ameaças que irão reter os seus dados, além de cobrar caro para devolve-los.

Não caia em falsas promessas de aplicativos que dizem recuperar seus itens criptografados. Consulte sempre um especialista em Segurança da Informação.


Cadastre-se em nossa Newsletter