A Infoblox Intelligence Unit observou dois surtos de malware na sexta-feira, 12 de maio. Embora não haja indicação de que os dois ataques foram relacionados, ambos foram ataques de ransomware com o objetivo de criptografar os arquivos da vítima, exigindo um pagamento (na maior parte sob a forma de pagamento em Bitcoin) a fim de descriptografá-los.
Vários relatórios combinaram os dois surtos com base na evidência e no uso comum de ransomware. A investigação subsequente revelou que eram ataques separados utilizando diferentes capacidades de distribuição e malware. É importante entender a diferença entre os dois ataques porque cada um requer medidas de remediação ligeiramente diferentes.
O primeiro ataque, WannaCry, é um worm auto-propagador, que alavanca uma vulnerabilidade conhecida e corrigida no Microsoft Server Message Block (SMB). Ele alavanca um exploit chamado ETERNALBLUE e passa a estabelecer um backdoor conhecido como DOUBLEPULSAR para permitir o acesso futuro aos sistemas infectados. WannaCry se espalha conectando-se a serviços SMB em sistemas locais e voltados para Internet com a vulnerabilidade ou executando o backdoor. O malware então se espalha lateralmente tentando conexões com todos os sistemas da rede local.
Durante a infecção inicial, o WannaCry verifica se um domínio externo (no caso o domínio kills/witch) está disponível. Se o domínio killswitch pode ser contatado, a função de encriptação não é executada. Os domínios killswitch não são um servidor de comando e controle para o malware e devem ser monitorados, mas não bloqueados. Antes de 12 de maio, os domínios não estavam registrados. Pouco depois do ataque ter começado, um pesquisador de malware registrou e anulou o primeiro domínio. Isso ajudou a evitar muitas infecções posteriores, pois o malware foi capaz de resolver o domínio. Uma vez que os arquivos são criptografados, os usuários serão solicitados a pagar US $ 300 em Bitcoin para recuperar seus arquivos. O custo vai até US $ 600 se um usuário demorar muito para pagar e, eventualmente, o usuário não será capaz de pagar para ter arquivos retornados. Observe que a Microsoft havia emitido um patch para a vulnerabilidade SMB que estava sendo explorada em março de 2017. Esse patch não foi implementado universalmente.
Enquanto o mundo estava preocupado com WannaCry, houve outro ataque ransomware em andamento chamado Jaff. O ransomware de Jaff foi lançado pelo Necurs, um dos maiores botnets do mundo, notório por espalhar ameaças como o Locky ransomware e o Dridex banking Trojan. Ele envia e-mails enganosos para suas vítimas encorajando-os a abrir um documento PDF anexado. Este documento pede permissões adicionais quando aberto e se aprovado, permite a entrega e execução da carga útil do ransomware. Os e-mails usados para fornecer Jaff empregam técnicas padrão de spam, mas os detalhes exatos variam entre cada uma das campanhas simultâneas.
Uma vez que o Jaff foi baixado e executado pelo documento malicioso, ele se conecta aos seus servidores C2 para comunicar que a criptografia dos arquivos da vítima já começou. Jaff então começa a criptografar os arquivos da vítima, instrui a vítima a instalar o Tor Browser e direciona os usuários para um site específico que exibe uma nota de resgate e instruções de pagamento. A quantidade exata exigida pelo resgate varia ao longo do tempo, mas atualmente as médias em torno de 2 Bitcoin (cerca de US $ 3.500 dólares).
Recomendações de melhores práticas:
Diante desses ataques, as organizações estão se perguntando o que podem fazer.
1) Implementar patches em tempo hábil: a dependência do WannaCry em uma vulnerabilidade conhecida e verificação de rede indica que algumas defesas tradicionais podem ser eficazes. Garantir atualizações de software em tempo hábil e manter os sistemas remendados eliminaria a vulnerabilidade e a capacidade do worm de se espalhar por esse exploit.
2) Sinkholing: Ao contrário dos domínios típicos de comando e controle, que devem ser bloqueados, o WannaCry usou um domínio killswitch que precisava ser resolvido para evitar a ativação da função de criptografia do ransomware. Uma prática recomendada é que uma empresa redirecione seu pedido interno para esses domínios para um sinkhole interno. Permitir que o cliente infectado conecte com êxito ao domínio killswitch impedirá que a função de criptografia seja concluída. Também permitirá que a empresa identifique seus hosts internos que foram afetados pelo malware.
3) Capacidade de Zona de Política de Resposta de DNS (RPZ): Utilizar a capacidade RPZ no servidor de DNS para monitorizar quaisquer acessos ao domínio killswitch ajuda a identificar clientes infectados.
4) Manter atualizada a inteligência contra ameaças: as organizações deveriam manter sempre atualizadas suas estratégias de segurança em toda sua infraestrutura e DNS para proteger contra qualquer atividade maliciosa ofensora inclusive em DNS, que é atualmente um dos principais vetores de ataque.
A Infoblox oferece proteção contra ransomware e outros malwares baseados em DNS usando inteligência de ameaças atualizada e com curadoria. Enquanto Jaff era uma ameaça nova, Infoblox identificou o domínio malicioso associado com Jaff e compartilhou as informações com seus clientes já em abril deste ano. Os feeds de inteligência de ameaças da Infoblox continham vários domínios da Necurs DGA usados na campanha e bloqueavam a resolução do DNS.
Entre em contato com a Mutirede e discutiremos mais detalhadamente como soluções de DNS bem arquitetadas e seguras podem ajudar a proteger os usuários contra ataques de ransomware.
Traduzido do texto escrito por Sean_Tierney Director of SW Development.
Para ver o conteúdo na íntegra (em inglês) clique aqui