Por dentro dos fatos: Ransomware Bad Rabbit

Por dentro dos fatos: Ransomware Bad Rabbit

Caros leitores,

Amanhecemos o dia com novidades sobre esta mais nova onda ransomware propagada ontem, informando que conforme previsto, redes brasileiras começariam ser atingidas com esta categoria de ataque. Empresas de comunicação e de diversos segmentos, reportaram tentativas de ataque deste tipo a partir da tarde desta terça-feira.

Sobre o Bad Rabbit

Este ataque, diferentemente dos anteriores (WanaCry e Petya/Not-Petya) utiliza a estratégia “drive by attack”, onde a vítima é induzida a baixar o conteúdo malicioso.

Travestida de atualização do Flash Player, o Bad Rabbit aparece como um pop-up comum em sites, comunicando que a ferramenta de visualização de conteúdo animado está desatualizada. Após o clique no botão dentro desta janela de aviso, é iniciado o download de um arquivo executável e automaticamente os conteúdos na máquina são todos criptografados.

Pop-up distorcido pede atualização com falso Flash (Fonte Tech Tudo)

 

 

 

 

 

 

 

 

Reforçamos que você pode verificar o status de seu Flash Player diretamente na ferramenta ou no site do fabricante.

Reforçamos que você pode verificar o status de seu Flash Player diretamente na ferramenta ou no site do fabricante.

Como o Bad Rabbit age no sistema:

Abaixo você encontra o workflow do Ransomware, suas etapas e comprometimento de conteúdo da vítima.

Como medida preventiva, você pode cadastrar os sites abaixo, detectados como infectados pelo JavaScript injetado em seu código HTML:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

 

Em relação à medidas preventivas tomadas pela Gantech, mantemos o status informado ontem de que nenhum cliente foi comprometido. Quanto aos nosso parceiros, você pode encontrar abaixo os comunicados oficiais emitidos em relação ao Bad Rabbit:

Palo Alto Networks: https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/

WatchGuard: https://www.secplicity.org/2017/10/25/bad-rabbit-ransomworm-daily-security-byte/

 

Seguimos à disposição em caso de dúvidas.

Atenciosamente,

Gantech Information Safety

Cadastre-se em nossa Newsletter

COMUNICADO: Ransomware Bad Rabbit

COMUNICADO: Ransomware Bad Rabbit

Alerta Ransomware: Bad Rabbit                                                     

Estamos com um alerta em curso, de um novo ataque virtual, iniciado a cerca de 4 horas atrás na Rússia e Ucrânia.

Comunicamos que em virtude do fuso horário, regiões como América Latina podem começar a receber agora ataques deste tipo, assim como soluções de antivírus legadas estarão descobertas de proteção para o ransomware Bad Rabbit. Imediatamente tomamos as providências de investigação sobre o fato entre nossos clientes e até o presente momento, nenhum deles foi atingido.

Estamos trabalhando intensamente junto aos nossos parceiros fabricantes, visando trazer todas as atualizações e ações que se fizerem necessárias. Pelo fato do ransomware agir quando o usuário recebe uma mensagem oferecendo uma atualização do software Adobe Flash Player, recomendamos fortemente que não aceitem nenhuma solicitação de atualização de tal aplicativo até seja comprovada a veracidade da origem.

Continuando as ações de vigilância, estamos prestando apoio e esclarecimentos independentemente do regime contratual de nossos clientes. Além disso, não só a Gantech Information Safety como todos os seus parceiros, estão empenhados em aplicar as ações corretivas imediatamente desenvolvidas.

Dessa maneira, reforçamos nosso compromisso e visão preventiva de segurança da informação.

Atenciosamente,
Gantech Information Safety

Cadastre-se em nossa Newsletter

Muito prazer, eu sou o DeOS – Destruction of Service.

Muito prazer, eu sou o DeOS – Destruction of Service.

Estamos adentrando à uma nova era da capacidade destrutiva e variação de técnica de ataques, muito mais abrangentes e massivos, gerando desafios ainda maiores para os líderes de TI e Segurança da Informação. E, concomitantemente ao fator humano, observamos diversas tecnologias legadas sendo superadas dia após dia.

 

Muito se conhece sobre os tradicionais ataques de negação de serviço (DDoS), bem como, quanto eles podem causar prejuízos gerando a indisponibilidade de diversos sistemas em uma organização. No entanto, esta categoria de ataque muito comum já está superada, sendo ela substituída pelo DeOS (Destruction of Service). Considerada por especialistas uma variação do ransomware, o DeOS consiste em danificar sistemas inteiros, uma se as organizações não realizarem o pagamento do resgate exigido, eliminando backups de redes, justamente estes os fundamentos para o processo de restauração de sistemas e dados após um ciberataque.

 

E o centro desta discussão sobre DeOS é o que em algumas publicações viemos tratando recentemente, o IoT (Internet of Things). A grande questão é que a corrida para segurança em IoT tem sido grande, visando preencher os espaços abertos entre as integrações das diversas plataformas de mercado. E estes buracos possuem inúmeras chances de gerar brechas para aplicação do DeOS por atacantes habilidosos.

 

De fato, a Internet das Coisas tem sido uma grande aliada dos cibercriminosos, isso porque, quanto a maior a quantidade de dispositivos conectados à rede, muito mais gaps de segurança são gerados. E, de acordo com recentes registros, a atividade de botnet em IoT já indica a ação de grupos específicos que planejam uma onda de alto impacto nos ataques, comprometendo como um todo a própria internet. Os dispositivos IoT dificilmente possuem uma segurança nativamente embarcada, além de sua infecção ser relativamente fácil, a capacidade de se controlar as atualizações é muito pequena.

 

E o que se pode fazer?

 

Vale lembrar que, conforme frisamos em alguns bate-papos atrás, a adoção de ferramentas que ampliem a visibilidade em ambiente IoT, contribui significativamente para o crescimento e maturidade em Segurança da Informação. Releia em A Internet das coisas e a era de repensar a segurança.

 

Atenciosamente,

Gantech Information Safety

Por dentro dos fatos: ransomware Petya

Por dentro dos fatos: ransomware Petya

Mas afinal, você sabe o que é o Petya?

Conforme nosso comunicado de alerta emitido ontem, uma grande parte de dispositivos e servidores esteve sob ataque de mais uma variação letal de ransomware.

Uma série de organizações Européias, mais especificamente na Ucrânia, Rússia, Inglaterra e Índia, sofreram ataques massivos de um novo vírus de resgate. No entanto, com característica principal bem diferente do WannaCry, o Petya é cerca de um ano mais velho. Registrou-se no início de 2016 a primeira versão do Petya. Já o WannaCry veio a gerar seus primeiros impactos apenas neste ano.

O Petya tem por sua principal característica modificar o setor de inicialização do disco rígido. E como os tradicionais vírus de resgate normalmente só criptografam arquivos, vide o WannaCry, o Petya é diferente pois utiliza uma abordagem de criptografar alguns setores-chave do disco, impedindo assim que o sistema dê boot e que qualquer software acesse a lista de arquivos no disco.

E como o Petya agiu tão rápido?

Recentemente o WannaCry usou uma brecha no Windows. E não foi diferente com o Petya.

De acordo com diversas entidades de pesquisa e laboratórios especializados no combate ao cibercrime, o novo vírus chegou na rede de suas vítimas através de um programa de contabilidade ucraniano, o “MeDoc”. Em comunicado, o site oficial do software, confirmou que houve um ataque de vírus ligado ao programa.

Você pode ser atingido por isso?

A resposta podemos dar através de uma outra pergunta: Como você enxerga sua segurança?

Obviamente se você mantém sua postura de segurança ativa e observa as boas práticas de uso dos dados e da sua rede, você não tem tanto a se preocupar. No demais, é só manter os olhos atentos ao comportamento de navegação de seus usuários.

Quais as ações iniciais que você pode tomar?

1 – Bloqueio dos domínios:

2 – Bloqueio dos IPs

  • 95.141.115.108
  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247

 

O que a Gantech e seus parceiros tem feito para livrar seus clientes do Petya?

Nossas parcerias tecnológicas, altamente qualificadas, posicionaram-se ativas e atentas aos impactos provocados pelo Petya. Nenhum incidente entre nossos clientes foi detectado, mas independentemente disso,  mantemos nosso nível de alerta e disponibilidade em grau máximo.

Confira abaixo os principais releases publicados por nossos parceiros nesta primeira ação contra o ransomware Petya:

A sincronia e inteligência oferecidas por suas ferramentas Wildfire® e Autofocus, possibilitaram aos clientes Palo Alto Networks, efetiva proteção sem o menor índice de instabilidade ou atraso. Em paralelo à isso, seu laboratório dedicado ao estudo avançado de ciberameaças, o UNIT 42, publicou sua análise inicial sobre o ocorrido. Confira em detalhes diretamente pelo link: https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware/


Em publicação recente em seu blog de segurança Secplicity, o CTO da Watchguard, Corey Nachreiner, fornece amplo detalhamento técnico sobre a ameaça. Além disso, a Watchguard reforça sua postura de defesa resiliente através de sua linha de appliances, dotados de licenciamento Total Security com cobertura específica para ameaças do tipo ransomware e APT, com o complemento de seu sensor para enpoints, o TDR (Threat Detection and Response).

Resultado de imagem para trustwaveCom abordagem técnica aprofundada e visão forense da situação, o SpiderLabs® da Trustwave também mostrou-se ativo e vigilante sobre a campanha de ransomware de ontem. Em seu blog, encontramos além dos detalhamentos técnicos da ameaça, diversos insights sobre como tratar a conformidade em segurança da informação, de maneira eficaz e objetiva. Mais detalhes pelo link: www.trustwave.com/Resources/SpiderLabs-Blog

Com postura proativa e visando sempre a segurança, firmamos nosso compromisso de manter nossos clientes 100% informados, com nossos olhos abertos e atentos às mudanças.

Atenciosamente,

Gantech Information Safety.

COMUNICADO IMPORTANTE: Ransomware Petya

COMUNICADO IMPORTANTE: Ransomware Petya

Prezados clientes, parceiros e amigos.
Recentemente tomamos conhecimento de um novo ataque do tipo Ransomware, chamado Petya, que atingiu pontualmente companhias de energia e instituições bancárias do Leste Europeu. Até o presente momento se sabe que a onda foi propagada às 15:00 na Ucrânia (hora local), atingindo pontualmente empresas nacionais.

Mensagem de resgate do Petya

Em que pese a ação isolada, estamos cientes do acontecimento e trabalhando de maneira intensa junto aos nossos parceiros, visando manter nossos clientes protegidos contra esta ameaça.

Dessa maneira, reforçamos nosso compromisso e visão preventiva de segurança da informação.

Atenciosamente,

Gantech Information Safety.

A Internet das coisas e a era de repensar a segurança.

A Internet das coisas e a era de repensar a segurança.

Você chega em casa cansado após um dia de trabalho e pensa em preparar um delicioso cafezinho expresso. Olha para sua cafeteira, seleciona sua cápsula e inicia o preparo com aquele maravilhoso e peculiar aroma. Um dia após o outro, você repete o processo, alternando entre diferentes horários e diferentes sabores. E sem perceber, suas preferências são coletadas e memorizadas. Este é um pequeno exemplo de nosso tema da semana. A internet das coisas redefinindo conceitos e mudando paradigmas, lançando uma nova era para repensar a segurança.

Pois é, até uma inofensiva cafeteira hoje pode saber tão bem dos seus hábitos quanto você mesmo.

Do cafezinho em casa ao grande parque de firewalls de um grande banco, tudo está envolto pela internet das coisas (IoT), onde os perímetros foram quebrados e uma redefinição de zona e bordas está em curso. Mas o que isso quer dizer, afinal?

A descentralização do armazenamento de dados e instância das aplicações fez com que a “era Cloud” fosse a predecessora do que o IoT hoje está consolidando. Dispositivos inteligentes e capazes de coletar qualquer tipo de informação vem, escalando cada vez mais a integração entre plataformas, porém na contrapartida tudo ainda está meio “solto”. E esta lacuna de organização de informações vêm desafiando a área de segurança da informação.

Não se trata de comandar tudo que se conecta à rede, mas sim, convergir tudo o que os dispositivos estão dizendo em uma única consolidadora de dados. Além disso, é importante gerir a segurança com visão da conformidade, mantendo requisitos mínimos de políticas de acesso e explorando os recursos de checagem de status de cada item conectado ao ambiente de produção e conectividade internos. Esta convergência é capaz não só de facilitar a coleta e visualização de diversos dispositivos, bem como, de mostrar as diferenças entre eles e o quão peculiar e específico cada um pode ser na superação diária dos desafios em segurança.

E é assim, migrando de uma rede à outra diariamente, que os dispositivos móveis interagem com seus equipamentos domésticos e com sua rede corporativa. Entender que este intercâmbio de informações e redes altamente flutuantes em regras pode dinamitar qualquer ambiente precariamente concebido, é fundamental.

E aí, vamos repensar a segurança?

 

Atenciosamente,

Gantech Information Safety.