Qwerty Ransomware: O vilão é o acesso remoto?

Qwerty Ransomware: O vilão é o acesso remoto?

Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário

Descoberto originalmente pelo MalwareHunterTeam, ele é instalado manualmente pelo atacante quando via acesso remoto ao computador da vítima, pelo serviço Remote Desktop Services.

A técnica de sequestro do Qwerty, se baseia em utilizar o programa GnuPG para criptografar os arquivos do usuário no computador infectado. O GnuPG é um programa legítimo que está sendo usado ilegalmente pelo ransomware Qwerty. E o fato do Qwerty usar este programa não é bem uma novidade, pois ele já foi usado anteriormente por ransomwares como o VaultCrypt e KeyBTC.

Composto por diversos arquivos individuais,os quais para criptografar os arquivos no computador são executados simultaneamente, incluem-se o executável gpg.exe, o executável shred.exe, o arquivo de lote key.bat que gera as chaves, o arquivo run.js e o arquivo find.exe:

 

E na prática, como ele age?

O primeiro arquivo executado é o key.bat. Ele age executando vários comandos de forma sequencial para o ransomware. Quando o key.bat é executado, as chaves serão importadas.

Depois que as chaves forem importadas, o key.bat executará o arquivo run.js. Este arquivo por sua vez executará o find.exe, que é o principal componente do ransomware Qwerty.

O find.exe especificará a letra do drive que será criptografado e executará os seguintes comandos:

taskkill /F /IM sql /T
taskkill /F /IM chrome.exe /T
taskkill /F /IM ie.exe /T
taskkill /F /IM firefox.exe /T
taskkill /F /IM opera.exe /T
taskkill /F /IM safari.exe /T
taskkill /F /IM taskmgr.exe /T
taskkill /F /IM 1c /T
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
del /Q /F /S %s$recycle.bin

Em seguida ele começará o processo de criptografia de cada drive detectado com o comando abaixo:

gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”

Os arquivos criptografados receberão a extensão .qwerty depois que o processo todo for concluído. Por exemplo, uma imagem teste.jpg ficará com a extensão teste.jpg.qwerty.

Depois que os arquivos forem criptografados, o shred.exe será executado para sobrescrever os originais:

shred -f -u -n 1 “%s%s”

É importante destacar que os arquivos só são sobrescritos uma única vez, o que torna possível recuperá-los usando um software especializado em recuperação de arquivos.

O pedido de resgate do ransomware Qwerty no arquivo README_DECRYPT.txt contém instruções para que a vítima entre em contato através do email cryz1@protonmail.com para receber as informações de pagamento.

No momento não existe uma ferramenta para ajudar o usuário a desbloquear os arquivos sem pagar o resgate.

 

Fonte: Bleeping Computer

 

Cadastre-se em nossa Newsletter

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Descoberto pelo pesquisador Bart, este Ransomware é capaz de literalmente “ferrar” seu computador. Inspirado na franquia de terror, este mais nova variante do vetor de ataque foi desenvolvida para além de obter lucro com o resgate, testar as habilidades do usuário e das tecnologias de proteção do sistema.

Sua principal característica é a desativação de softwares de segurança instalados na máquina (ex: Windows Defender). E além de executar a tradicional criptografia dos arquivos, ele ainda se espalha por dispositivos de armazenamento USB, chegando em alguns casos até sobrescrever setores mestre de inicialização da máquina. Tal atividade, gera um bootloader personalizado mascarado como legítimo.

E na prática, como ele age?

Em sua primeira execução, o Annabelle configurará o Windows para que ele inicialize quando o usuário fizer logon no sistema. Após isso, ele iniciará a desativação de uma série de programas presentes, como por exemplo:

  • Process Hacker;
  • Process Explorer;
  • Msconfig;
  • Task Manager entre outros.

E não pára por ai! Ele ainda irá executar configurações alterando as entradas de registro do Windows, visando bloquear o acesso dos usuários aos aplicativos acima. Na sequência, tentará se espalhar pelo sistema utilizando arquivos autorun.inf (nas versões mais antigas). Já nas atuais, ele partirá para a criptografia direta dos arquivos.

Utilizando a chamada “chave estática”, o conteúdo bloqueado aparecerá com a extensão .ANNABELLE.

 

Após finalizada a criptografia, o Ransomware forçará a reinicialização do sistema. E no retorno da sessão, quando o usuário fizer logon será exibida a seguinte tela:

 

Como resgate, os cibercriminosos responsáveis pelo ataque cobram a quantia de 0,1 Bitcoin por arquivo.

 

Recomendamos a verificação contínua de anexos de e-mail, links recebidos por e-mail e arquivos compartilhados via pendrive, pois estas são as principais portas de entrada destas ameaças que irão reter os seus dados, além de cobrar caro para devolve-los.

Não caia em falsas promessas de aplicativos que dizem recuperar seus itens criptografados. Consulte sempre um especialista em Segurança da Informação.

Cadastre-se em nossa Newsletter

As permissões de acesso ao seu perfil nas redes sociais te preocupam? Saiba como corrigir.

As permissões de acesso ao seu perfil nas redes sociais te preocupam? Saiba como corrigir.

Diariamente, compartilhamos nossas informações em redes sociais com centenas/milhares de pessoas. Na maior parte do tempo, estas informações e dados são visualizados pelos contatos permitidos à rede do usuário. Ou seja, quem é “add”.

Mas não é bem assim. Muitas outras coisas, além dos amigos e colegas, podem acessar suas informações e compartilha-las sem que você saiba. E como isso pode acontecer?

 

Aplicações úteis (algumas delas nem tanto). O que elas podem fazer?

Na utilização de redes sociais, nos deparamos com diversas aplicações desenvolvidas para estas plataformas. E praticamente 100% delas, dependem da leitura de suas informações de perfil para que possam funcionar. Tudo começa com um anúncio ou postagem compartilhada de algum contato que já utilizou a aplicação. Algumas vezes pode até aparecer como um convite para jogos. De uma forma ou de outra, elas estão presentes no seu dia a dia.

Supondo-se que você decidiu utilizar esta aplicação ou game, e concedeu acesso às suas informações de perfil, o que será que estas aplicações farão? Uma vez tendo o acesso, elas podem na maioria dos casos:

  • Acessar suas informações de perfil;
  • Coletar estas informações e armazena-las;
  • Publicar coisas em seu nome.

Porque então publicar coisas em nome do usuário? Pois é assim que elas se disseminam, pelo compartilhamento e divulgação.

Mas muito além disso, elas podem também vender suas informações a terceiros, os chamados “parceiros” da marca. Com o volume de adesões de usuários, uma grande base de dados vai sendo criada, alimentando um banco de dados comercial de perfis segmentados, rico em detalhes para que outras empresas possam utilizar e fazer suas divulgações sem que você sequer as conheçam.

 

E o que pode ser feito?

É importante lembrar que, uma vez autorizado o acesso às informações de perfil, automaticamente o que quiser ser coletado, já pode ser obtido. No entanto, nunca é tarde para revisar estas diretrizes de segurança em seu perfil social e bloquear o acesso a futuras consultas de dados, por parte dessas aplicações. Veja abaixo o passo a passo:

Passo #1 – Acessar suas configurações. Uma vez logado na conta, na página inicial, vá até o menu oculto na opção sinalizada abaixo.

 

Passo #2 – Com o menu expandido, acesse suas configurações.

 

Passo #3 – Na página de configurações, acesse a opção “Aplicativos” na lateral esquerda da tela.

 

Passo #4 – Na página, vá até o aplicativo desejado e com o ponteiro sobre o “x”, clique para remover as permissões concedidas.

 

Passo #5 – Perguntado(a) se deseja remover a aplicação, confirme clicando em “Remover”. Pronto! O acesso às suas informações foi removido com sucesso.

 

Mas… conforme dissemos, durante o período de permissões concedidas, informações do perfil foram coletadas. E agora, o que fazer para eliminar de vez os seus dados da base do aplicativo?

Por regra, estas aplicações interativas com as informações do usuário, prescindem de uma política de privacidade divulgada. Acima, na janela de confirmação da remoção das permissões, vemos um link para este documento.

 

Clique nele e verifique quais as políticas disponibilizadas para o uso e compartilhamento de dados. Aproveite também para identificar o e-mail de contato, para que você possa enviar sua solicitação formal de remoção definitiva.

Recomendamos a leitura prévia destes termos de privacidade antes de qualquer concessão de acesso. É maçante e chato? Sabemos… Mas, é importante!

Na dúvida, pesquise informações sobre o desenvolvedor do aplicativo e suas referências. A internet é e sempre será uma ótima fonte de informações.

Lembre-se sempre: Nunca clique em links duvidosos.

Cadastre-se em nossa Newsletter

Monero: Além de minerar criptomoedas, seu hardware também pode estar sendo minado.

Monero: Além de minerar criptomoedas, seu hardware também pode estar sendo minado.

Descoberta pela Unit42, laboratório de especialistas da Palo Alto Networks, a nova campanha lançada pelos criminosos já alcançou cerca de 15 milhões de PC’s ao redor do mundo. Este evento de consiste na disseminação de um vírus para aproveitar os sistemas das vítimas, e realizar a mineração da criptomoeda Monero.

 

Mas afinal, o que é mineração de criptomoeda?

Existem muitas definições sobre mineração de criptomoedas, cada uma diferentemente abordada por sua entidade emissora. No entanto, encontramos uma definição dada pelo professor de programação Ronaldo Prass (G1), bem clara e objetiva, usando o Bitcoin como exemplo que é a seguinte.

“A mineração de criptomoedas é o processo de registar as transações ao “livro” público do Bitcoin, também conhecido como “Blockchain”. As informações armazenadas nessa estrutura servem para confirmar as transações válidas. A rede Bitcoin usa o “Blockchain” para distinguir transações de Bitcoins legítimas de tentativas de reuso de moedas, ou seja, moedas que já foram gastas em outra transação. Esse processo é gerenciado por softwares específicos instalados nos computadores, o seu funcionamento em rede é semelhante ao torrent. Após conectado, o computador do usuário se conecta a um grupo de mineradores para aumentar a capacidade de processamento de dados. Essa rede possibilita que o Bitcoin não dependa de uma estrutura centralizada para a realização das transações. Os usuários que realizarem a mineração serão recompensado com criptomoedas.”

 

E o que nós brasileiros temos a ver com isso?

De acordo com a Palo Alto Networks, o Brasil é um dos países mais afetados. Estima-se que pelo menos 550 mil computadores no país teriam recebido o vírus. Ainda de acordo com as investigações e os relatos apresentados pelas vítimas, os conteúdos nocivos são distribuídos por meio de mensagens publicitárias enganosas, tais como em serviços como o Adfly, por exemplo. Relata-se também configurações padrão dos navegadores, são uma brecha de ataque para que estes anúncios se aproveitem e iniciem um download automático.

Para maiores informações técnicas, acesse este link para consulta direta ao site da Unit42.

 

 

Fontes: G1 e Unit42 Blog.

Cadastre-se em nossa Newsletter

Malware Zumanek: Tudo aquilo que você precisa saber sobre ele.

Malware Zumanek: Tudo aquilo que você precisa saber sobre ele.

Engenhoso trojan de acesso remoto (RAT), convence as vítimas a executarem o primeiro estágio de infecção.

 

Com foco no mercado financeiro nacional de bancos, financeiras e também no novo mercado das criptomoedas, esta nova variante de malware bancário foca no Brasil, e já dá as caras do quanto a engenharia social facilitará a vida do cibercrime.

 

Mas como ele atua?

Como toda ameaça avançada (APT) e se valendo da engenharia social, o Zumanek posiciona-se estrategicamente vigilante estudando seus alvos, visando entregar conteúdo convincente e que conduza a vítima a baixar e executar o primeiro estágio da cadeia de infecção. E esta etapa inicial, consiste no estudo e triagem da máquina onde ele está sendo rodado, e em seguida baixa o conteúdo nocivo para executá-lo.

 

Entende-se que o motivo para que explicar o porquê as detecções são feitas em sua maioria no Brasil, deve-se porque o downloader examina a língua do sistema utilizado pelo usuário e só agir se a entrada corresponder ao idioma ‘pt-br’.

 

Uma outra verificação do malware é para atingir o ponto mais fraco que são os usuários sem proteção antivírus. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes anti-ameaças. E no caso da existência de alguma proteção desse tipo, o processo é imediatamente encerrado. Agora, caso não seja encontrado antivírus, segue-se com a sequência de ataque, realizando o download do payload final e sua execução na máquina da vítima.

 

Adiante, passando para a segunda etapa, o arquivo executado fornece ao atacante o controle remoto da máquina da vítima. Então ele realiza o roubo de credencias de acesso a serviços de internet banking e a contas de serviços de criptomoedas.

 

Feita a execução dos arquivos, são enviados diversos comandos à máquina da vítima, podendo o operador também visualizar a tela do usuário, tudo isso a partir dos dados enviados, realizando comandos do tipo screenshot de tela. Dessa maneira, os dados da vítima ficam totalmente expostos.

 

Reforçamos que se deve observar sempre as boas práticas do uso da rede doméstica e corporativa. Pois em nossas rotinas, muitas vezes deixamos para executar atividades pessoais e profissionais em distintos horários, trabalhando em casa ou acessando informações bancárias na rede corporativa.

 

O trânsito de conexões entre redes protegidas e não-protegidas, facilita a injeção de malwares obtidos fora de ambiente controlado, gerando transtornos ao usuário e às organizações que procuram manter o controle sobre o uso seguro de sua infraestrutura.

 

 

Fonte: Security Report.

Cadastre-se em nossa Newsletter

COMUNICADO: Vulnerabilidade processadores Intel

COMUNICADO: Vulnerabilidade processadores Intel

Prezados clientes,

 

Como é de amplo conhecimento, foram identificadas e divulgadas duas vulnerabilidades que afetam processadores da marca Intel. Tais vulnerabilidades, permitem a execução de um processo malicioso em máquinas onde o produto esteja instalado, permitindo o acesso aos dados outro processo e do sistema operacional.

Dentro de nosso portfólio, possuímos parceiros de tecnologia que contam com processadores Intel em seus produtos, nos cabendo detalhar este tema no quesito Segurança da Informação. Informamos que estamos atentos desde o início destas notícias e pontuamos que até o momento, nenhum produto comercializado foi afetado.

Um exemplo disso, são os appliances WatchGuard, os quais não permitem a execução de processos alheios ao seu sistema operacional (Fireware OS), blindando qualquer tentativa e possibilidade de dano ao cliente/usuário. Tais vulnerabilidades causariam maior dano em sistemas tradicionais como estações e servidores e não em soluções como appliances dedicados.

Reiteramos que continuamos atentos ao tema, nos colocando à disposição para quaisquer esclarecimentos que porventura houverem.

 

Atenciosamente,

Gantech Information Safety

Cadastre-se em nossa Newsletter

Palo Alto Networks: Previsões e recomendações em Segurança da Informação 2018!

Palo Alto Networks: Previsões e recomendações em Segurança da Informação 2018!

Com foco global em Segurança da Informação, a Palo Alto Networks traz suas previsões e recomendações de cibersegurança para 2018. Confira abaixo os itens analisados, com a visão de seus respectivos especialistas:

E era de ataques aos softwares de Supply-Chain começou!

Quando escolhemos executar programas em computadores de todos os tipos, estamos escolhendo confiar que nenhuma das pessoas que desempenharam um papel na criação, embalagem e entrega desse software tenha intenção maliciosa ou tenha sido comprometida. É hora de mudar isso.

Por Ryan Olson

A praga dos Ransomwares está apenas começando.

Mao Tse-tung supostamente disse: “O poder político cresce para fora da caixa de armas”. Embora seja um prolongamento dizer que os  Ransomwares produzirão o mesmo resultado em 2018, os motivos do resgate vão mudar para ganhos cada vez mais políticos, em vez de comerciais.

Por Danny Milrad

Cadastre-se em nossa Newsletter

Beyond Trust: Previsões de Segurança da Informação 2018. Confira!

Beyond Trust: Previsões de Segurança da Informação 2018. Confira!

Para os profissionais de TI e Segurança, é hora de olhar para trás, como de costume nos finais de ano, e analisar o que motivou o mercado de Cibersegurança em 2017 a projetar novos planos para o próximo ano. E com a ocorrência de diversas campanhas públicas de exploits, vazamento de dados e alegações de fraudes eletrônicas eleitorais, seguramente o mercado precisa se adequar rapidamente à novas soluções.

 

E como parte importante da magia de se prever o que virá como tendência de segurança, com base no que foi visto nesse ano, mais uma vez o time de cibersegurança da Beyond Trust se reuniu para debater e formular sua lista para 2018.

 

Para facilitar o entendimento e direcionar melhor sua leitura, as previsões (em inglês) estão divididas em quatro categorias:

  • Métodos para ataques em larga escala, vazamentos e exploits;
  • Negócios em cibersegurança – foco e investimentos;
  • Estratégias de ataque e defesa;
  • Predições adicionais para os próximos 05 anos.

 

Criado pelos especialistas Brad Hibbert (CTO), Morey Haber (VP Technology), Scott Carlson (Technology Fellow) Brian Chappell (Senior Director – Solutions Architecture), o documento pode ser acessado diretamente na página da Beyond Trust.

Cadastre-se em nossa Newsletter

Em noite de muita festa, Gantech celebra o fechamento de 2017.

Em noite de muita festa, Gantech celebra o fechamento de 2017.

Descontração, boa música e celebração marcaram o fechamento do ano de 2017 da Gantech.

 

Na última terça-feira, os clientes, parceiros e amigos da Gantech puderam se reunir e compartilhar em grande estilo, os excelentes resultados obtidos em 2017.

Em clima de muita celebração e descontração, a festa realizada no Pub The Sailor marcou um grande encontro de clientes e profissionais do segmento de Segurança da Informação. E além de boa música ao vivo, os convidados puderam saborear as especialidades da casa e beber drinks especialmente preparados.

Muito mais reservamos para o próximo ano! Com este evento, a Gantech Information Safety agradece de forma simbólica todo o apoio e confiança depositados em sua equipe.

#2018vemcomtudo!

 

Confira abaixo algumas fotos da festa.

Cadastre-se em nossa Newsletter

Previsões de Segurança da Informação 2018 – Capítulo 7

Previsões de Segurança da Informação 2018 – Capítulo 7

Estarão as urnas eletrônicas e sistemas de votação na mira dos atacantes?

 

Parece que os hackers estão escalando novas estratégias em sua sessão de planejamento. Depois de procurar vulnerabilidades e explorações em criptografia , comunicação sem fio , cyber seguradoras , IoT e autenticação multifatorial , eles estão fazendo um último esforço para submergir a sociedade em um caos político total, pirateando máquinas e sistemas eleitorais.

Dada a pesquisa divulgada no DefCon 2017, em torno de vulnerabilidades em máquinas de votação obtidas no eBay, o lançamento de um ataque direcionado nessas plataformas parece ser inevitável. Talvez até, eles decidam em vez disso, impactar eleições com uso de métodos menos diretos que poderiam ser tão eficazes quanto.

Continue acompanhando nossa cobertura, pois em breve voltaremos com mais previsões para Segurança da Informação em 2018.

Cadastre-se em nossa Newsletter