Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Conti, o ransomware mais rápido do Ocidente: 32 threads de CPU paralelos, mas…para quê?Sergio de los Santos 3 agosto, 2020 Quem pensa que o ransomware “varejo” que infecta os usuários e pede um resgate é um perigo, talvez não conheça o ransomware usado contra as redes das empresas, porque, depois de alguns anos conosco, o ransomware amadureceu. Tornou-se industrializado, especializado e sofisticado contra vítimas muito mais lucrativas e de que maneira. O Conti, o ransomware mais rápido , é apenas um exemplo de como eles evoluíram. Vamos ver quais truques ele usa e por quê. Foi Carbon Black quem analisou uma nova versão do Conti , descobrindo novos níveis de sofisticação. Porque onde está a ação e a verdadeira inovação do malware está nos ataques direcionados às empresas . Esses ataques entram por meio de mensagens de email com anexos, geralmente Excel ou Word com macros ou que exploram as vulnerabilidades do Office. Eles fazem movimentos laterais até estarem em um servidor onde se agacham esperando a oportunidade. A partir daí, eles lançam ataques de seqüestro de dados e pedem milhões de resgates para que a empresa continue com suas operações. Em comparação, o ransomware «caseiro» que afeta os sistemas dos usuários é praticamente uma brincadeira. Vamos ver o que esses invasores inovaram e por quê. O mais rápido do Ocidente A Conti usa 32 threads de CPU simultâneos. Isso permite criptografar todo o disco rígido ou qualquer arquivo colocado na frente dele muito rapidamente. Seria como lançar 32 cópias de um ransomware «normal» em paralelo. Por que eles fazem isso, por que eles querem ir tão rápido? Eles geralmente iniciam esse ataque quando já estão em um desses servidores poderosos na rede da empresa com alguns privilégios (geralmente o controlador de domínio local). O sistema é considerado poderoso na CPU e capaz de iniciar todos esses threads. Ele também permite atacar sistemas com um disco rígido grande, com muitos dados (também como backup ). Quanto mais rápido o ransomware , mais rapidamente ele passa despercebido por qualquer sistema de alerta, de reativo a preventivo. Sempre será tarde demais. Jogue a pedra e esconda a mão Outro recurso interessante da Conti é que, mais uma vez «agachado» em um servidor, ele pode atacar a rede vizinha e criptografar as unidades compartilhadas dos sistemas vizinhos. Dessa maneira, os administradores de rede não saberão de onde vem o ataque, porque o natural é pensar que a máquina com os arquivos criptografados é a infectada. Nada disso: o paciente zero pode andar muito longe, jogando cifras muito rápidas para a esquerda e para a direita. Evite fazer barulho usando o ARP Para saber quais máquinas estão ao seu redor, você tem duas opções: analise os IPs da própria rede e percorra a faixa ou use um ARP-a e saiba quais máquinas você entrou em contato recentemente. O último é exatamente o que Conti faz. Para Conti, um arquivo bloqueado não é um problema Se você estiver em um servidor com um banco de dados interessante, normalmente seus dados sempre serão «bloqueados» pelo sistema operacional ou pelo próprio banco de dados. Criptografá-los será impossível porque você não pode tocar em um arquivo que pertence a um processo que o possui exclusivamente. Do ponto de vista dos invasores, como criptografá-lo? O primeiro Conti mata qualquer processo que tenha «sql» em seu nome. Pouquíssimas famílias também usam o truque que este ransomware usa para criptografar arquivos, que é usar o Restart Manager, a fórmula que o próprio Windows usa para matar processos de forma limpa antes de desligar o sistema operacional. É como se ele matasse os processos de forma limpa, como se fosse o Windows antes de reiniciar, mas sem reiniciar. E é aqui que você também precisa de velocidade e o motivo de ter 32 fios. Matar um processo crítico é muito barulhento, os administradores perceberão rapidamente que algo está errado. Do ponto de vista de malware , se você tiver muitos arquivos pesados à frente, é melhor criptografá-los rapidamente depois de interromper o processo pai, se desejar atingir seu objetivo. Criptografa todas as extensões, exceto exe, dll, lnk e sys Conti é muito agressivo. A maioria dos ransomwares “domésticos” procura extensões potencialmente valiosas para a vítima. Documentos, fotografias, dados, etc. O Conti criptografa tudo, exceto executáveis, binários e drivers . Para acelerar, evite alguns diretórios do sistema. Obviamente, tudo isso não impede que o pesadelo do resgate tenha as tecnologias usuais para esse tipo de ataque. Desde a exclusão de cópias de sombra (embora de maneira especial) até as chaves públicas que criptografam a chave AES de 256 bits incorporada em cada arquivo criptografado. Finalmente, o mérito da análise desta amostra é maior quando se sabe que ofusca seu próprio código de uma maneira especial. O Conti tenta ocultar cada string , cada chamada de API do sistema usando um algoritmo diferente para ele, com chaves diferentes … e assim por diante, até 277 funções (algoritmos) usadas internamente. Segurança e privacidade na «Internet da Saúde»Protegemos seus aplicativos de nuvem da AWS no novo ambiente normal
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...