Os cibercriminosos estão a começar a tirar partido dos problemas Exchange/ProxyLogon – tendo o primeiro ataque sido o DearCry. Deixamos abaixo declarações de Mark Loman, Director, Engineering Technology Office da Sophos e especialista em ransomware, que incluem uma descrição do comportamento deste ataque e indicações para que as organizações possam defender-se dele.
Se estiver a escrever uma reportagem sobre o DearCry e outros ataques de ransomware, não hesite em utilizar estes comentários de Mark Loman. Também nos é possível agendar uma entrevista com algum dos especialistas em ameaças da empresa, caso seja necessário.
“Do ponto de vista do comportamento da encriptação, o DearCry é aquilo a que os especialistas em ransomware da Sophos chamam um ransomware ‘de cópia’: cria cópias encriptadas dos ficheiros atacados e apaga os originais. Isto faz com que os ficheiros encriptados tenham de ser armazenados em diferentes setores lógicos, permitindo que as vítimas eventualmente recuperem alguns dados – dependendo de quando o Windows reutilize os setores lógicos libertados. Os ataques de ransomware mais conhecidos operados por humanos, como o Ryuk, REvil, BitPaymer, Maze e Clop, são ransomware ‘no local’, fazendo com que o ficheiro encriptado seja armazenado em setores logicamente semelhantes, o que impossibilita a recuperação através de ferramentas de recuperação de dados (‘undelete’).
A encriptação do DearCry é baseada num sistema criptográfico de chave pública. A chave de encriptação pública é incorporada no código binário do ransomware, o que significa que este não precisa de entrar em contacto com o servidor de comando e controlo do atacante para encriptar os ficheiros das vítimas. Até mesmo os servidores Exchange configurados para permitir acesso à Internet apenas através de serviços Exchange serão encriptados. Sem a chave de desencriptação (que está na posse do atacante), não é possível recuperar os dados.
Curiosamente, o WannaCry também era um ransomware de cópia. O DearCry não só partilha um nome semelhante, como também tem um cabeçalho de ficheiro estranhamente semelhante. Para se defenderem contra este tipo de ataques, as empresas devem instalar com urgência os patches da Microsoft, de forma a evitar a exploração dos seus patches Microsoft Exchange. Se isto não for possível, o servidor deve ser desligado da Internet, ou cautelosamente monitorizado por uma equipa de resposta a ameaças. Uma nota: o Sophos Intercept X e o Sophos Intercept X com EDR conseguem detetar e proteger do ransomware DearCry. Já esperávamos que os atacantes tirassem partido dos problemas Exchange/ProxyLogon. Este pode ser o primeiro de uma série de ataques”, finaliza Mark Loman.
Recursos complementares para a imprensa (atualizados regularmente pela Sophos):
Proteção contra Hafnium
Hafnium: conselhos sobre este novo ataque
Serious Security: Explicação sobre webshells
“Do ponto de vista do comportamento da encriptação, o DearCry é aquilo a que os especialistas em ransomware da Sophos chamam um ransomware ‘de cópia’: cria cópias encriptadas dos ficheiros atacados e apaga os originais. Isto faz com que os ficheiros encriptados tenham de ser armazenados em diferentes setores lógicos, permitindo que as vítimas eventualmente recuperem alguns dados – dependendo de quando o Windows reutilize os setores lógicos libertados. Os ataques de ransomware mais conhecidos operados por humanos, como o Ryuk, REvil, BitPaymer, Maze e Clop, são ransomware ‘no local’, fazendo com que o ficheiro encriptado seja armazenado em setores logicamente semelhantes, o que impossibilita a recuperação através de ferramentas de recuperação de dados (‘undelete’).
A encriptação do DearCry é baseada num sistema criptográfico de chave pública. A chave de encriptação pública é incorporada no código binário do ransomware, o que significa que este não precisa de entrar em contacto com o servidor de comando e controlo do atacante para encriptar os ficheiros das vítimas. Até mesmo os servidores Exchange configurados para permitir acesso à Internet apenas através de serviços Exchange serão encriptados. Sem a chave de desencriptação (que está na posse do atacante), não é possível recuperar os dados.
Curiosamente, o WannaCry também era um ransomware de cópia. O DearCry não só partilha um nome semelhante, como também tem um cabeçalho de ficheiro estranhamente semelhante. Para se defenderem contra este tipo de ataques, as empresas devem instalar com urgência os patches da Microsoft, de forma a evitar a exploração dos seus patches Microsoft Exchange. Se isto não for possível, o servidor deve ser desligado da Internet, ou cautelosamente monitorizado por uma equipa de resposta a ameaças. Uma nota: o Sophos Intercept X e o Sophos Intercept X com EDR conseguem detetar e proteger do ransomware DearCry. Já esperávamos que os atacantes tirassem partido dos problemas Exchange/ProxyLogon. Este pode ser o primeiro de uma série de ataques”, finaliza Mark Loman.
Recursos complementares para a imprensa (atualizados regularmente pela Sophos):
Proteção contra Hafnium
Hafnium: conselhos sobre este novo ataque
Serious Security: Explicação sobre webshells
Post A Comment:
0 comments: