Histórias de Ransomware

pandasecurity/enterprise.com

Histórias de Ransomware2 |

Luis Corrons trabalha no setor de cibersegurança desde 1999, quando começou a sua carreira na Panda Security.

Em 2002, foi nomeado diretor do PandaLabs, o laboratório anti-malware da Panda Security, bem como Coordenador Global de alertas de malware em cenários de infeções. Enquanto Diretor Técnico do PandaLabs, tem coordenado, desde 2007, diversos projetos relacionados com a análise de malware e colaborou em oprações com as autoridades, tanto a nível nacional como internacional.

Luis Corrons é colaborador da Wildlist, pertence ao Conselho de Administração da AMTSO (Anti-malware Testing Standards Organization) e da MUTE (Malicious URLs Tracking and Exchange).

Luis é um conhecido orador das mais importantes conferências de segurança, tal como RSA, Virus Bulletin, HackInTheBox, AVAR, Security BSides, etc.

Histórias de Ransomware

Luis Corrons

“Não existe total segurança em nenhum aspeto da vida e, definitivamente, é algo que não existe na internet.”

Histórias de Ransomware2 |

PandaLabs Technical Director

Histórias de Ransomware3 |

Conheça as características do novo Locky

5

Powerware

1

Campanhas de Spam

3

Shadow Copies: aproveitando as

características do ransomware

4

“Crise” mundial devido ao

Protocolo de Desktop Remoto

6

A ascensão do Cerber

2

Histórias de Ransomware4 |

Este ransomware específico pareceu-nos algo com o qual já nos tínhamos deparado e tendo, inclusivamente, os nossos colegas da Carbon Black publicado um artigo, em Março, sobre este assunto.

É fácil o seguir o caminho do ataque: chega através de um email de phishing com um anexo Word.

Uma vez aberto, a Macro do documento executa um ficheiro cmd.exe que abre o PowerShell, para, numa primeira fase, transferir um script da internet e em seguida executar novamente o PowerShell utilizando o script transferido como dados de input para realizar as tarefas de ransomware.

O ataque começa com um email de Phishing com um documento Word em anexo.

Este Powerware, assim designado pela Carbon Black, é mais um entre os milhares de ransomware que vemos e já era bloqueado por nós antes mesmo de conhecermos esta família em particular (como acontece em 99,99% dos casos; já referi que somos os melhores do mundo a deter ataques de ransomware?), ainda que tenha de admitir que para algumas empresas de segurança esta família tem sido um desafio maior que as restantes.

Porque é que isto acontece? Bem, muitos dos chamados “Antivirus da Nova Geração” dependem dos ficheiros de assinaturas de vírus (mas não eram eles que diziam não utilizar assinaturas?!) e em simultâneo, a sua presença é maior no perímetro do que no endpoint.

Como podem imaginar, bloquear documentos de Word no perímetro não é muito conveniente. Só quando alguns clientes são infetados é que as assinaturas podem ser adicionadas, sendo assim protegidos os restantes clientes (por exemplo, bloqueando os IPs dos quais o script é transferido) ainda que a inexistência de malware executado transferido pela internet seja um verdadeiro pesadelo para estes antivírus.

Feitas as contas, o ransomware é um negócio incrível para os cibercriminosos e como tal, estes investem imensos recursos para descobrir novas formas de permanecer sem serem detetados pelas várias soluções de segurança, sendo o Powerware apenas um exemplo. O comportamento geral não é alterado, no entanto existem pequenas mudanças todas as semanas. Estas alterações podem afetar o próprio malware (na forma como este realiza as suas tarefas) ou a forma como este chega ao sistema (utilizando novos exploits, modificando os exploits existentes, modificando os efeitos desses exploits, etc).

Um bom exemplo de novas formas de infecção é este que temos visto recentemente: após explorar uma vulnerabilidade do Internet Explorer, executa a consola CMD utilizando a função “echo” para criar um script. Em seguida são executados diversos ficheiros Windows que realizam tarefas destinadas a evitar que as soluções de segurança detectem comportamentos suspeitos. O ficheiro é executado através de WScript e transfere uma dll que é então executada pelo regsvr32 (utilizando rundll32), através da consola

w

The Starting Point: PowerwareA semana passada, fomos questionados, no PandaLabs, acerca de uma família específica de ransomware que utiliza o PoweShell, uma ferramenta da Microsoft incluída no Windows 10 e que tem sido explorada há já algum tempo pelos cibercriminosos.

Histórias de Ransomware5 |

CMD. Na maioria dos casos, esta dll é um ransomware. Na realidade, até o momento, já bloqueámos mais de 500 tentativas de ataque que utilizaram este novo método.

Não analisámos o exploit utilizado (para nós não é muito importante, desde que o consigamos bloquear), no entanto, tendo em consideração o momento do ataque (as primeiras tentativas ocorreram a 27 de Junho), numa altura em que o AnglerEK já havia desaparecido, é provável que os criminosos tenham utilizado o Neutrino ou o Magnitude.

Sempre que vemos algo novo, há alguém que acaba por publicar informação um mês depois, pelo que acamos por estragar a sua pesquisa ou pelo menos esta já não será novidade. Para compensar, compilei uma lista de todos os MD5s das dll capturadas na mais de 500 tentativas de infecção:

00d3a3cb7d003af0f52931f192998508

09fc4f2a6c05b3ab376fb310687099ce

1c0157ee4b861fc5887066dfc73fc3d7

1cda5e5de6518f68bf98dfcca04d1349

1db843ac14739bc2a3c91f652299538c

2c5550778d44df9a888382f32c519fe9

2dcb1a7b095124fa73a1a4bb9c2d5cb6

2f2ca33e04b5ac622a223d63a97192d2

38fb46845c2c135e2ccb41a199adbc2a

3ac5e4ca28f8a29c3d3234a034478766

4cb6c65f56eb4f6ddaebb4efc17a2227

562bf2f632f2662d144aad4dafc8e316

63dafdf41b6ff02267b62678829a44bb

67661eb72256b8f36deac4d9c0937f81

6dbc10dfa1ce3fb2ba8815a6a2fa0688

70e3abaf6175c470b384e7fd66f4ce39

783997157aee40be5674486a90ce09f2

7981aab439e80b89a461d6bf67582401

821b409d6b6838d0e78158b1e57f8e8c

96371a3f192729fd099ff9ba61950d4b

9d3bf048edacf14548a9b899812a2e41

a04081186912355b61f79a35a8f14356

a1aa1180390c98ba8dd72fa87ba43fd4

a68723bcb192e96db984b7c9eba9e2c1

abb71d93b8e0ff93e3d14a1a7b90cfbf

b1ac0c1064d9ca0881fd82f8e50bd3cb

b34f75716613b5c498b818db4881360e

b6e3feed51b61d147b8679bbd19038f4

bbf33b3074c1f3cf43a24d053e071bc5

cba169ffd1b92331cf5b8592c8ebcd6a

d4fee4a9d046e13d15a7fc00eea78222

d634ca7c73614d17d8a56e484a09e3b5

de15828ccbb7d3c81b3d768db2dec419

df92499518c0594a0f59b07fc4da697e

dfd9ea98fb0e998ad5eb72a1a0fd2442

e5c5c1a0077a66315c3a6be79299d835

e9b891e433468208a87070a98762f9e7

ea45792911f35a35f19165cd485806f0

eaea54f86a6bd121fda4c18cbec75ae5

f949adaed84f1f05eb58386b5cfbf8a7

fa662d4796c1271a7a2a3240bcafb098

fc992705721fbedeecf5253ac62e0812

“Na realidade, até o momento, já bloqueámos mais de 500 tentativas de ataque que utilizaram este novo método”

Histórias de Ransomware5 |

Histórias de Ransomware6 |

No meu primeiro artigo desta série, falei de como a ferramenta do Windows, PowerShell tem sido utilizada abusivamente para infetar computadores com ransomware. A verdade é que existem muitas formas de utilizá-la já que esta é, tal como o próprio nome indica, uma ferramenta muito potente. Uma das formas mais simples de a utilizar é transferir e executar um ficheiro (malware). Claro que antes de isto acontecer, o PoweShell tem de ser executado, o que pode acontecer através de alguns scripts, macros dos documentos do Office ou mediante um exploit. No caso do Cerber, a forma de infeção mais utilizada é através de exploit kits.

Os dados que temos indicam que nos últimos 3 meses bloqueámos mais de 3000 tentativas de infeção que utilizavam o PowerShell para transferir e executar malware (ransomware). Fig.2

À primeira vista, a maioria do malware é Cerber, ainda que possa ser de diferentes famílias de ransomware (enquanto conseguirmos bloquear todas as infeções, não existe necessidade de analisar todos os códigos binários, salvo para pesquisa). Grande parte destes ataques ocorreu nas primeiras semanas de Julho. Se remontarmos a Outubro do ano passado, podemos verificar que esta é a maior vaga de infeções a utilizar esta técnica dos últimos 10 meses. Fig.1

Selecionámos aleatoriamente alguns códigos hash entre os milhares bloqueados, no caso de querer “brincar” com eles no seu laboratório e proteger os seus clientes:ransomware_list

Outro modo bastante habitual de infeção com malware Cerber é utilizar a linha de comandos WMIC do Windows Management Instrumentation (WMI). Até agora, todos os casos verificados utilizam vulnerabilidades existentes no Internet Explorer. É transferida para o computador uma variante de malware e invés desta ser executada de imediato, utiliza o WMIC para a executar (com o objetivo de parecer ter um comportamento legitimo já que o WMIC é um goodware do sistema operativo Windows). Até agora, bloqueámos mais de 3000 tentativas de infeção que utilizaram esta técnica nas últimas 4 semanas: Fig.3

Esta é uma seleção dos códigos hash bloqueados durante 3 dias que utilizaram esta técnica de WMIC: ransomware_list2

A ascensão do CerberO Cerber é uma família de ransomware relativamente recente que tem sido utilizada frequentemente nos últimos meses. Neste artigo, iremos analisar algumas das técnicas de infeção utilizadas.

Fig.1 Fig.2 Fig.3

http://www.pandasecurity.com/spain/mediacenter/src/uploads/2016/07/ransomware_list.txthttp://www.pandasecurity.com/spain/mediacenter/src/uploads/2016/07/ransomware_list2.txt

Histórias de Ransomware7 |

As campanhas de spam utilizadas pelo ransomware são, normalmente, aquelas que têm anexadas ficheiros comprimidos (.zip) contendo código malicioso. Estes podem ser um ficheiro PE (habitualmente.exe), um script (.js,.vbs,.wsf, etc.) ou um documento Word (que pode ou não ser comprimido). Outra estratégia (com bastante sucesso para os cibercriminosos, como pudemos constatar nas campanhas de faturas falsas), é incluir uma hiperligação no email, que irá encaminhar a vítima para um site no qual ele pode transferir o ficheiro comprimido.

Qual a frequência destes ataques? Ao analisarmos os dados, nos últimos dois meses detivemos bastantes ataques de ransomware, na forma de emails, que utilizavam ficheiros PE ou scripts (tanto em anexos ou através de links). Fig.1

No total bloqueámos 22 665 tentativas de infeção. Considerando que estamos a falar de ataques que escaparam a todas as outras barreiras de segurança (ficheiros de assinaturas, análise heurística, filtros de websites maliciosos, etc.), o número real de infeções é bastante mais elevado. No gráfico podemos observar um padrão: existem 2 dias com um número menor de

infecções, seguidos de 5 dias nos quais o número de ataques aumenta. Parece que os criminosos também gostam de aproveitar o fim-de-semana, no entanto, se pensarmos que nos dias que correm o público-alvo são empresas, é normal que estes sejam mais activos de segunda a sexta-feira.

Se observarmos o gráfico da figura 2, verificamos que os ataques com documentos de Word maliciosos são menos frequentes do que os que envolvem scripts. Durante o mesmo período bloqueámos 3943 tentativas de infeção: Fig.2

Mantém-se o padrão relacionado com o fim-de-semana. O Word não é a única ferramenta do Microsoft Office a ser explorada nestas campanhas de spam, ainda que isto aconteça com menor frequência. Por exemplo, nos últimos 2 meses só vimos uma campanha de spam utilizar o Excel: Fig.3

Por agora é tudo. Nas próximas semanas iremos publicar um novo artigo desta série, no qual explicaremos como aproveitar as características do ransomware para evitar infeções.

Campanhas de SpamOs dois principais vetores de infeçãoão para o ransomware são os exploits e os emails de spam. No meu último artigo falei de alguns exemplos de exploits. Agora vamos centrar-nos no spam.

Fig.1 Fig.2 Fig.3

.exe.js

.zip

.wsf

Histórias de Ransomware8 |

No entanto nem todos têm cópias de segurança, ainda que o Windows tenha uma funcionalidade muito útil, denominada Shadow Copies, que é uma espécie de cópia de segurança dos arquivos em sistema. Os cibercriminosos sabem há muito da sua existência, pelo que alguns meses depois deste tipo de ataques se tornar popular, as novas variantes começaram a apagar as Shadow Copies dos ficheiros dos utilizadores antes de encriptar a informação.

Existem diversas tecnologias que podem ser utilizadas para neutralizar os ataques de ransomware; algumas delas são praticamente inúteis, tal como os ficheiros de assinaturas e a análise heurística (estas são as primeiras coisas que os criadores de malware testam antes de lançarem as novas variantes). Outras poderão ser mais eficazes, mas mesmo a combinação de todas elas não garante proteção destes ataques.

Há 2 anos decidimos implementar uma estratégia simples mas eficaz: se algum processo tenta eliminar as Shadow Copies é muito provável que seja malware (nem sempre) e é quase certo que se trate de ransomware. Se somarmos a toda a restante informação de que dispomos, conseguimos determinar se é ou não um novo malware. Hoje em dia a maioria das famílias de ransomware elimina as Shadow Copies. Se não o fizessem, as pessoas deixariam de pagar os resgates, já que conseguiriam recuperar a informação gratuitamente. Estive a analisar quantas infeções neutralizámos ao adotar esta estratégia. A dedução lógica é que deveria ser um número que crescesse exponencialmente, já que existem cada vez

mais ataques de ransomware e todos eles utilizam esta técnica. O gráfico mostra os ataques bloqueados nos últimos 12 meses. Fig.1

Foi exatamente o oposto do que seria de esperar. Como é que isto é possível? Existe uma explicação simples: esta estratégia é utilizada como um último recurso, quando falham todas as outras camadas de segurança. Na realidade, utilizamo-la internamente para identificar estes ataques e melhorar as restantes medidas de segurança.

Também a utilizamos para determinar o nosso sucesso a neutralizar o ransomware, quanto menor for este valor, melhor são as nossas tecnologias. Como podemos verificar, a nossa performance é cada vez melhor.

Shadow Copies: aproveitando as características do ransomwareInfelizmente, não existem muitas formas de recuperar os ficheiros roubados por um ransomware que não envolvam o pagamento de um resgate. Se tivermos sorte (mesmo muita sorte!) talvez exista alguma ferramenta gratuita que permita a sua recuperação. Outra opção é repô-los através de uma cópia de segurança.

Fig.1

Histórias de Ransomware9 |

Recentemente (os nossos colegas da Avira publicaram um artigo em Julho) foi adicionada uma nova funcionalidade que inclui um modo offline que permite a encriptação de ficheiros mesmo quando não é possível estabelecer ligação ao servidor. O ponto fraco desta estratégia é que esta chave é a mesma para todos os computadores cujos ficheiros são encriptados, o que faz com que esta tarefa só seja executada quando não é possível a ligação ao servidor que atribui uma chave a cada infeção.

Além dessa nova funcionalidade, foi alterado o modo como os computadores são infetados. Normalmente estes ataques utilizam um troiano para transferir e executar o ransomware. Por exemplo, quando o ataque é feito através de um ficheiro javascript, normalmente é transferido um pequeno executável cujo objetivo é obter e executar o ransomware. Como mencionei em outros artigos, os criminosos estão sempre a implementar pequenas alterações para evitar serem detetados pelas soluções de segurança.

Distribuição do Novo Ataque

Neste caso o ataque é efetuado através de email, que contém, na sua maioria, um ficheiro zip com um ficheiro javascript denominado “utility_bills_copies.js”. No entanto, temos encontrado outras versões com assuntos e ficheiros diferentes, como o exemplo abaixo:

Que dentro tem o seguinte ficheiro:

O passo intermédio com o troiano executável para transferir o malware foi eliminado, sendo o script executado diretamente, obtendo a variante Locky no formato DLL (com o executável troiano o ficheiro transferido é na maior parte das vezes um EXE) que é executado utilizando o rundll32.exe do Windows. Esta estratégia foi adotada pela primeira vez a 22 de Agosto e até agora tem sido o método utilizado. Como podemos constatar, é lançada uma nova vaga a cada semana: Fig.1

Os territórios mais afectados

Só detetámos umas centenas de tentativas de ataque, principalmente na América do Norte e na Europa, ainda que também ocorram na África e na Ásia. No entanto, caso exista um bom retorno de investimento podemos esperar um aumento do número de ataques ransomware_list3 (3)

Fig.1

Conheça as características do novo LockyNeste novo artigo de Histórias de Ransomware abordamos as características de uma das mais conhecidas famílias de ransomware: Locky.

Voice Message Arrived on Friday, Aug 26 @ 6:15 AMName: Outside CallerNumber: UnavailableDuration: 1m 10s

Outside Caller 09-01-2016 0689a.zip

Voice Message from Outside Caller (1m 10s)

Name Size

29.854gFnd.hta

...

http://www.pandasecurity.com/mediacenter/src/uploads/2016/09/ransomware_list3-3.txt

Histórias de Ransomware10 |

Todos os dias, deparamo-nos com milhares de tentativas de infeções por ransomware, no entanto, esta chamou-nos a atenção já que o ficheiro apareceu no computador infetado numa altura em supostamente ninguém o estaria a utilizar e, de facto, não foram executados clientes de email ou browsers de internet.

Como é que o malware chegou ao computador?

Porque é que as medidas de segurança instaladas não conseguiram evitar que o servidor fosse infetado? Esta era uma questão que nos intrigava, pelo que resolvemos analisar a situação. O servidor em questão tinha instalado o Remote Desktop Protocol (RDP) e os criminosos utilizaram um ataque de força bruta até conseguir descobrir as credenciais que lhes permitiram o acesso.

Como a maioria dos utilizadores não usa sistemas de autenticação em duas fases (2FA) e as suas palavras-passe não são muito complexas ou aleatórias, é relativamente simples aceder a um servidor, utilizando um ataque de força bruta e um bom dicionário e testando as combinações mais prováveis. Esta técnica não constitui qualquer novidade. Recordo-me de, uma vaga de ataques de ransomware a empresas espanholas, há mais de um ano atrás, na qual foi utilizada esta mesma técnica. Os cibercriminosos, por norma, efetuam estes ataques à noite ou ao fim-de-semana, quando há menos pessoas, ou até mesmo nenhuma, nas empresas.

Os cibercriminosos acedem a um servidor utilizando um ataque de força bruta e um

bom dicionário e testando as combinações mais prováveis.

Neste caso, o ataque ao servidor começou a 16 de Maio, tendo sido efetuadas 700 tentativas de login. Estas eram executadas em períodos de aproximadamente 2 horas e ocorriam diariamente entre a 1 e as 3 da manhã ou entre as 3 e as 5 da manhã, sendo que o número de tentativas de login era alterado de um dia para o outro. Por exemplo, em 18 de Maio foram 1976 enquanto a 1 de Julho foram 1342.

Ao fim de 4 meses e mais de 100 000 tentativas de login, os criminosos conseguiram finalmente aceder ao servidor e injetar o ransomware Crysis.

Esta é uma crise à escala mundial

Esta semana os nossos colegas da Trend Micro publicaram um artigo alertando para ataques similares na Austrália e na Nova Zelândia, que propagam variantes da família Crysis. Infelizmente, podemos afirmar que estes não foram os únicos países nos quais estes ataques aconteceram (pelo menos desde Maio).

Tendo em conta que, para que o ataque ser bem-sucedido, é necessário que o dispositivo afetado esteja a executar o protocolo RDP e tenha ligação à internet, recomendamos a monitorização de todas as tentativas de ligação para detetar qualquer ataque e a utilização de palavras-passe complexas bem como a implementação de sistemas 2FA, como os que enviam códigos de verificação por SMS, que fazem com que a obtenção fraudulenta de palavras-passe seja inútil.

“Crysis” mundial devido ao Protocolo de Desktop RemotoHá cerca de duas semanas descobrimos um ataque de ransomware num servidor de uma empresa francesa. Tratava-se de uma variante do vírus Crysis, uma família de ransomware que surgiu no início do ano.

*******

******

******

******

Continuaremos a mantê-lo informado!

Pandalabs News

http://www.pandasecurity.com/mediacenter/pandalabs/