Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Conti, o ransomware mais rápido do Ocidente: 32 threads de CPU paralelos, mas…para quê?Sergio de los Santos 3 agosto, 2020 Quem pensa que o ransomware “varejo” que infecta os usuários e pede um resgate é um perigo, talvez não conheça o ransomware usado contra as redes das empresas, porque, depois de alguns anos conosco, o ransomware amadureceu. Tornou-se industrializado, especializado e sofisticado contra vítimas muito mais lucrativas e de que maneira. O Conti, o ransomware mais rápido , é apenas um exemplo de como eles evoluíram. Vamos ver quais truques ele usa e por quê. Foi Carbon Black quem analisou uma nova versão do Conti , descobrindo novos níveis de sofisticação. Porque onde está a ação e a verdadeira inovação do malware está nos ataques direcionados às empresas . Esses ataques entram por meio de mensagens de email com anexos, geralmente Excel ou Word com macros ou que exploram as vulnerabilidades do Office. Eles fazem movimentos laterais até estarem em um servidor onde se agacham esperando a oportunidade. A partir daí, eles lançam ataques de seqüestro de dados e pedem milhões de resgates para que a empresa continue com suas operações. Em comparação, o ransomware «caseiro» que afeta os sistemas dos usuários é praticamente uma brincadeira. Vamos ver o que esses invasores inovaram e por quê. O mais rápido do Ocidente A Conti usa 32 threads de CPU simultâneos. Isso permite criptografar todo o disco rígido ou qualquer arquivo colocado na frente dele muito rapidamente. Seria como lançar 32 cópias de um ransomware «normal» em paralelo. Por que eles fazem isso, por que eles querem ir tão rápido? Eles geralmente iniciam esse ataque quando já estão em um desses servidores poderosos na rede da empresa com alguns privilégios (geralmente o controlador de domínio local). O sistema é considerado poderoso na CPU e capaz de iniciar todos esses threads. Ele também permite atacar sistemas com um disco rígido grande, com muitos dados (também como backup ). Quanto mais rápido o ransomware , mais rapidamente ele passa despercebido por qualquer sistema de alerta, de reativo a preventivo. Sempre será tarde demais. Jogue a pedra e esconda a mão Outro recurso interessante da Conti é que, mais uma vez «agachado» em um servidor, ele pode atacar a rede vizinha e criptografar as unidades compartilhadas dos sistemas vizinhos. Dessa maneira, os administradores de rede não saberão de onde vem o ataque, porque o natural é pensar que a máquina com os arquivos criptografados é a infectada. Nada disso: o paciente zero pode andar muito longe, jogando cifras muito rápidas para a esquerda e para a direita. Evite fazer barulho usando o ARP Para saber quais máquinas estão ao seu redor, você tem duas opções: analise os IPs da própria rede e percorra a faixa ou use um ARP-a e saiba quais máquinas você entrou em contato recentemente. O último é exatamente o que Conti faz. Para Conti, um arquivo bloqueado não é um problema Se você estiver em um servidor com um banco de dados interessante, normalmente seus dados sempre serão «bloqueados» pelo sistema operacional ou pelo próprio banco de dados. Criptografá-los será impossível porque você não pode tocar em um arquivo que pertence a um processo que o possui exclusivamente. Do ponto de vista dos invasores, como criptografá-lo? O primeiro Conti mata qualquer processo que tenha «sql» em seu nome. Pouquíssimas famílias também usam o truque que este ransomware usa para criptografar arquivos, que é usar o Restart Manager, a fórmula que o próprio Windows usa para matar processos de forma limpa antes de desligar o sistema operacional. É como se ele matasse os processos de forma limpa, como se fosse o Windows antes de reiniciar, mas sem reiniciar. E é aqui que você também precisa de velocidade e o motivo de ter 32 fios. Matar um processo crítico é muito barulhento, os administradores perceberão rapidamente que algo está errado. Do ponto de vista de malware , se você tiver muitos arquivos pesados à frente, é melhor criptografá-los rapidamente depois de interromper o processo pai, se desejar atingir seu objetivo. Criptografa todas as extensões, exceto exe, dll, lnk e sys Conti é muito agressivo. A maioria dos ransomwares “domésticos” procura extensões potencialmente valiosas para a vítima. Documentos, fotografias, dados, etc. O Conti criptografa tudo, exceto executáveis, binários e drivers . Para acelerar, evite alguns diretórios do sistema. Obviamente, tudo isso não impede que o pesadelo do resgate tenha as tecnologias usuais para esse tipo de ataque. Desde a exclusão de cópias de sombra (embora de maneira especial) até as chaves públicas que criptografam a chave AES de 256 bits incorporada em cada arquivo criptografado. Finalmente, o mérito da análise desta amostra é maior quando se sabe que ofusca seu próprio código de uma maneira especial. O Conti tenta ocultar cada string , cada chamada de API do sistema usando um algoritmo diferente para ele, com chaves diferentes … e assim por diante, até 277 funções (algoritmos) usadas internamente. Segurança e privacidade na «Internet da Saúde»Protegemos seus aplicativos de nuvem da AWS no novo ambiente normal
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
Roberto Velasco DevSecOps: 7 fatores-chave para implementar segurança em DevOps DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC)....
ElevenPaths Boletim semanal de cibersegurança 5-11 junho Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço,...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Gonzalo Álvarez Marañón Recupere o controle de seus dados pessoais graças à identidade descentralizada no Blockchain Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era...
Sergio de los Santos E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia...