• Cursos Multirede
  • Brasil
  • MSC
  • Trabalhe Conosco
  • Países
    • Angola
    • Chile
    • Colômbia
    • USA
Multirede
  • Temas de Negócio
    • Energia
    • Saúde
    • Serviços Financeiros
    • Varejo
  • Soluções
    • Produtos
      • Comunicações Unificadas
      • Data Center
      • Gerenciamento
      • IoT-Internet das Coisas
      • Mobilidade
      • SEGURANÇA – BISS
    • Consultoria e Serviços
      • Assessment
      • Projetos
      • SEGURANÇA – BISS
      • Service Providers
      • Serviços Gerenciados
      • Serviços On Site
  • Cursos & Certificações
    • Cisco
    • Red Hat
    • Oracle
    • BMC
    • Microsoft
    • Multirede
    • Agenda
    • Turmas Programadas
    • Certificações
    • EAD
    • Ver todos os cursos
    • Multi Desenvolvimento Humano
      • Coaching
      • Assessments
      • Mentoria
      • Treinamentos e Palestras
  • Parceiros
    • Core
      • Arbor
      • Cisco
      • IBM
      • InfoBlox
      • IXIA
      • NetScout
      • Red Hat
    • Associados
      • BMC
      • Fortinet
      • Microsoft
      • A10
      • VMWare
      • Oracle
      • Todos Associados
  • Mídia
    • BLOG
    • Notícias
    • Artigos
    • Vídeos
  • Sobre a Multirede
    • Sobre a Multirede
    • PREMIAÇÕES
    • Missão, Visão e Valores
    • Contatos
  • Fale Conosco
  • Temas de Negócio
    • Energia
    • Saúde
    • Serviços Financeiros
    • Varejo
  • Soluções
    • Produtos
      • Comunicações Unificadas
      • Data Center
      • Gerenciamento
      • IoT-Internet das Coisas
      • Mobilidade
      • SEGURANÇA – BISS
    • Consultoria e Serviços
      • Assessment
      • Projetos
      • SEGURANÇA – BISS
      • Service Providers
      • Serviços Gerenciados
      • Serviços On Site
  • Cursos & Certificações
    • Cisco
    • Red Hat
    • Oracle
    • BMC
    • Microsoft
    • Multirede
    • Agenda
    • Turmas Programadas
    • Certificações
    • EAD
    • Ver todos os cursos
    • Multi Desenvolvimento Humano
      • Coaching
      • Assessments
      • Mentoria
      • Treinamentos e Palestras
  • Parceiros
    • Core
      • Arbor
      • Cisco
      • IBM
      • InfoBlox
      • IXIA
      • NetScout
      • Red Hat
    • Associados
      • BMC
      • Fortinet
      • Microsoft
      • A10
      • VMWare
      • Oracle
      • Todos Associados
  • Mídia
    • BLOG
    • Notícias
    • Artigos
    • Vídeos
  • Sobre a Multirede
    • Sobre a Multirede
    • PREMIAÇÕES
    • Missão, Visão e Valores
    • Contatos
  • Fale Conosco

WannaCry e Jaff: Dois diferentes ataques Ransomware com um objetivo comum

1
Compartilhe:
Follow by Email
Facebook
Google+
https://www.multirede.com.br/2017/05/19/wannacry-e-jaff-dois-diferentes-ataques-ransomware-com-um-objetivo-comum/
Twitter
LinkedIn

A Infoblox Intelligence Unit observou dois surtos de malware na sexta-feira, 12 de maio. Embora não haja indicação de que os dois ataques foram relacionados, ambos foram ataques de ransomware com o objetivo de criptografar os arquivos da vítima, exigindo um pagamento (na maior parte sob a forma de pagamento em Bitcoin) a fim de descriptografá-los.
Vários relatórios combinaram os dois surtos com base na evidência e no uso comum de ransomware. A investigação subsequente revelou que eram ataques separados utilizando diferentes capacidades de distribuição e malware. É importante entender a diferença entre os dois ataques porque cada um requer medidas de remediação ligeiramente diferentes.
O primeiro ataque, WannaCry, é um worm auto-propagador, que alavanca uma vulnerabilidade conhecida e corrigida no Microsoft Server Message Block (SMB). Ele alavanca um exploit chamado ETERNALBLUE e passa a estabelecer um backdoor conhecido como DOUBLEPULSAR para permitir o acesso futuro aos sistemas infectados. WannaCry se espalha conectando-se a serviços SMB em sistemas locais e voltados para Internet com a vulnerabilidade ou executando o backdoor. O malware então se espalha lateralmente tentando conexões com todos os sistemas da rede local.
Durante a infecção inicial, o WannaCry verifica se um domínio externo (no caso o domínio kills/witch) está disponível. Se o domínio killswitch pode ser contatado, a função de encriptação não é executada. Os domínios killswitch não são um servidor de comando e controle para o malware e devem ser monitorados, mas não bloqueados. Antes de 12 de maio, os domínios não estavam registrados. Pouco depois do ataque ter começado, um pesquisador de malware registrou e anulou o primeiro domínio. Isso ajudou a evitar muitas infecções posteriores, pois o malware foi capaz de resolver o domínio. Uma vez que os arquivos são criptografados, os usuários serão solicitados a pagar US $ 300 em Bitcoin para recuperar seus arquivos. O custo vai até US $ 600 se um usuário demorar muito para pagar e, eventualmente, o usuário não será capaz de pagar para ter arquivos retornados. Observe que a Microsoft havia emitido um patch para a vulnerabilidade SMB que estava sendo explorada em março de 2017. Esse patch não foi implementado universalmente.
Enquanto o mundo estava preocupado com WannaCry, houve outro ataque ransomware em andamento chamado Jaff. O ransomware de Jaff foi lançado pelo Necurs, um dos maiores botnets do mundo, notório por espalhar ameaças como o Locky ransomware e o Dridex banking Trojan. Ele envia e-mails enganosos para suas vítimas encorajando-os a abrir um documento PDF anexado. Este documento pede permissões adicionais quando aberto e se aprovado, permite a entrega e execução da carga útil do ransomware. Os e-mails usados para fornecer Jaff empregam técnicas padrão de spam, mas os detalhes exatos variam entre cada uma das campanhas simultâneas.
Uma vez que o Jaff foi baixado e executado pelo documento malicioso, ele se conecta aos seus servidores C2 para comunicar que a criptografia dos arquivos da vítima já começou. Jaff então começa a criptografar os arquivos da vítima, instrui a vítima a instalar o Tor Browser e direciona os usuários para um site específico que exibe uma nota de resgate e instruções de pagamento. A quantidade exata exigida pelo resgate varia ao longo do tempo, mas atualmente as médias em torno de 2 Bitcoin (cerca de US $ 3.500 dólares).
Recomendações de melhores práticas:
Diante desses ataques, as organizações estão se perguntando o que podem fazer.

1) Implementar patches em tempo hábil: a dependência do WannaCry em uma vulnerabilidade conhecida e verificação de rede indica que algumas defesas tradicionais podem ser eficazes. Garantir atualizações de software em tempo hábil e manter os sistemas remendados eliminaria a vulnerabilidade e a capacidade do worm de se espalhar por esse exploit.
2) Sinkholing: Ao contrário dos domínios típicos de comando e controle, que devem ser bloqueados, o WannaCry usou um domínio killswitch que precisava ser resolvido para evitar a ativação da função de criptografia do ransomware. Uma prática recomendada é que uma empresa redirecione seu pedido interno para esses domínios para um sinkhole interno. Permitir que o cliente infectado conecte com êxito ao domínio killswitch impedirá que a função de criptografia seja concluída. Também permitirá que a empresa identifique seus hosts internos que foram afetados pelo malware.
3) Capacidade de Zona de Política de Resposta de DNS (RPZ): Utilizar a capacidade RPZ no servidor de DNS para monitorizar quaisquer acessos ao domínio killswitch ajuda a identificar clientes infectados.
4) Manter atualizada a inteligência contra ameaças: as organizações deveriam manter sempre atualizadas suas estratégias de segurança em toda sua infraestrutura e DNS para proteger contra qualquer atividade maliciosa ofensora inclusive em DNS, que é atualmente um dos principais vetores de ataque.

A Infoblox oferece proteção contra ransomware e outros malwares baseados em DNS usando inteligência de ameaças atualizada e com curadoria. Enquanto Jaff era uma ameaça nova, Infoblox identificou o domínio malicioso associado com Jaff e compartilhou as informações com seus clientes já em abril deste ano. Os feeds de inteligência de ameaças da Infoblox continham vários domínios da Necurs DGA usados na campanha e bloqueavam a resolução do DNS.

 

Entre em contato com a Mutirede e discutiremos mais detalhadamente como soluções de DNS bem arquitetadas e seguras podem ajudar a proteger os usuários contra ataques de ransomware.

 

Traduzido do texto escrito por Sean_Tierney Director of SW Development.

Para ver o conteúdo na íntegra (em inglês) clique aqui

Voltar

Categories

  • Temas de negócios
    • Varejo
    • Serviços Financeiros
    • Segurança
    • Saúde
    • Energia
  • Serviços
    • Segurança
    • Assessment
  • Produtos
    • Segurança - BISS
  • Parceiros
    • Infoblox
  • Artigos

Siga a Multirede

SÃO PAULO

Rua Dr. Eduardo de Souza Aranha, 387
8º e 9º andares
Itaim-Bibi
04543-121 - São Paulo - SP - Brasil
Tel: +55 11 3040-7600
Fax: +55 11 3040-7601

SANTIAGO DO CHILE

Multirede Chile, SpA
Calle Augusto Leguía Norte, 255A
Oficina 17 - Las Condes
7550064 - Santiago do Chile - Chile
Tel: +56 2 2897-3900

Rio de Janeiro

Av. das Américas, 500 - Bloco 19
Salas 203/204
Shopping Downtown - Barra da Tijuca
22640-100 - Rio de Janeiro - RJ - Brasil
Tel: +55 21 2483-7600
Fax: +55 21 2483-7601

MIAMI

Multirede USA Corporation
150 South Pine Island Road #300
Plantation, FL 33324
USA
Tel: 1-305-204-0056

LUANDA

Multirede Consultoria e Formação, LDA
Edifício TransBrás Office, 1º andar
Via AL11
Talatona
Luanda – Angola
Tel: +244 225 300333

Siga a Multirede

Novidades

Assine e receba conteúdos e promoções exclusivas

© Copyright 2017 - Multirede - Todos os Direitos Reservados.