Semana 22 de segurança: ransomware em uma máquina virtual

Na semana passada, os especialistas da Sophos revelaram os detalhes de um interessante trojan de criptografia Ragnar Locket (artigo no ZDNet , publicação técnica no blog da Sophos). O ransomware arrasta uma máquina virtual completa para o sistema atacado, no qual é iniciada, obtém acesso ao sistema de arquivos host e criptografa os dados. Entre outras coisas, este caso mostra que a inflação do instalador atingiu malware. Para ocultar o código malicioso real de 49 kilobytes de tamanho, um instalador de 122 megabytes é entregue à vítima, que é descompactado para 282 megabytes.

Segundo a Sophos, o ransomware usa um agrupamento voltado para negócios. Um exemplo é o ataque ao fornecedor de eletricidade Energias de Portugal. Alegadamente, 10 terabytes de dados foram roubados deles e 1.580 bitcoins foram exigidos para descriptografia pelos cibercriminosos. Na mídia, uma operação de máquina virtual é descrita como um truque eficaz para ignorar o software antivírus. Mas, na realidade, essa "inovação" não requer nenhuma alteração nas tecnologias de segurança.

Somente a aplicação correta dos existentes é necessária.

O relatório da empresa não disse exatamente como o computador está infectado. Para iniciar um objeto mal-intencionado, você deve convencer o usuário a fazer isso ou tirar proveito da vulnerabilidade. Há apenas uma dica de exploração de brechas ou senhas simples para uma conexão RDP. Os ataques aos provedores de serviços gerenciados, em outras palavras, administradores remotos de outra empresa que têm acesso total à infraestrutura da vítima em potencial, também são mencionados. O suficiente para invadir uma organização assim para poder atacar seus clientes.

E então tudo é simples. Uma máquina virtual Oracle Virtualbox está instalada no computador e é incrivelmente antiga - a versão 2009, também em nome da Sun. Usando o script, os parâmetros de configuração da máquina virtual são transmitidos. Uma imagem truncada do Windows XP é iniciada (MicroXP 0.82, build 2008). Uma conexão de rede virtual é estabelecida e o acesso a todos os discos no host aumenta:

O processo de criptografia não está descrito na publicação Sophos. Antes dele, outro script fecha a lista de aplicativos e serviços no sistema principal para desbloquear os arquivos editáveis. No final, um arquivo de texto com demanda de resgate é colocado no computador atacado.

Não há tecnologias avançadas aqui: esta é uma máquina virtual preparada e um monte de scripts. Do ponto de vista de uma solução protetora, esse ataque não difere fundamentalmente da aparência na rede corporativa de um computador infectado com acesso a pastas de rede. Sim, há uma nuance - obviamente, o software malicioso na máquina atacada nem aparece: está oculto dentro de uma imagem virtual e somente o software legítimo é iniciado.

O problema é resolvido analisando o comportamento do programa ou das ações do computador remoto para obter marcadores claros "Eu quero criptografar algo aqui". Uma maneira curiosa de economizar no desenvolvimento de tecnologias maliciosas complexas.

O que mais aconteceu

O Registro publicou detalhes do ataque à EasyJet. Entre outubro de 2019 e janeiro de 2020, os cibercriminosos roubaram informações de cartão de crédito de um número relativamente pequeno de clientes (de acordo com dados oficiais, cerca de 2200). A julgar pelos relatos das vítimas, o vazamento de informações de reserva (mas não dados de pagamento) afetou milhões de usuários.

A Trustwave relata que os invasores usam o serviço Google Firebase. Um serviço criado para desenvolvedores é usado para hospedar páginas de phishing. Essa é apenas uma das muitas tentativas de usar as ferramentas legítimas do Google em ataques cibernéticos.

Os cibercriminosos atacam os serviços para pagar compensações às vítimas de uma pandemia. Fresco (mas não o único)um exemplo são os ataques a serviços governamentais nos Estados Unidos. O grupo, supostamente operando na Nigéria, usa dados de moradores e empresas para enviar compensação para sua conta bancária.

O suposto distribuidor do banco de dados de nome de usuário e senha conhecido como Coleção 1. foi preso . Originalmente disponível no mercado negro, esse banco de dados de 773 milhões de entradas foi disponibilizado ao público em janeiro passado.

Pesquisadores do Reino Unido, Alemanha e Suíça encontraram uma nova vulnerabilidade no protocolo Bluetooth ( notícias , trabalhos de pesquisa) As deficiências no processo de autorização permitem que um invasor simule um dispositivo com o qual a vítima já estabeleceu uma conexão. O problema foi confirmado em uma amostra de 31 dispositivos com Bluetooth, em 28 chipsets diferentes.