SEGURANÇA

WannaCry: ransomware teria forte ligação com grupo que roubou US$ 81 milhões do BC de Blangadesh

Convergência Digital* ... 30/05/2017 ... Convergência Digital

As ferramentas e infraestrutura usadas nos ataques do ransomware WannaCry têm forte ligação com o Lazarus, grupo responsável pelos ataques destrutivos na Sony Pictures e roubo de US$ 81 milhões do Banco Central de Bangladesh, revela estudo da Symantec. De acordo com a empresa de segurança, antes do surto global em 12 de maio, uma versão anterior do WannaCry (Ransom.Wannacry) foi usada em um pequeno número de ataques direcionados em fevereiro, março e abril.

A análise dessa investida inicial pela Equipe de Investigação de Ataques da Symantec revelou semelhanças substanciais entre as ferramentas, técnicas e infraestrutura usadas pelo esse grupo de cibercriminosos e aquelas vistas em ataques anteriores do Lazarus, indicando uma alta probabilidade de que o Lazarus tenha sido responsável pela disseminação do WannaCry.

Apesar das ligações com o Lazarus, os ataques WannaCry não têm as características de uma campanha liderada por uma nação, porém, são características comuns em campanhas de cibercrime. Essas versões anteriores do WannaCry usavam credenciais roubadas para se espalhar por redes infectadas, invés de utilizar o exploit Eternal Blue, responsável pela rápida proliferação do WannaCry pelo mundo a partir de 12 de maio.

Após o primeiro ataque do WannaCry em fevereiro, três instâncias de malware ligadas ao Lazarus foram descobertas na rede da vítima: Trojan.Volgmer e duas variantes de Backdoor.Destover, a ferramenta que apaga o conteúdo de discos usada nos ataques da Sony Pictures.

·Trojan.Alphanc, que foi usado para distribuir o WannaCry nos ataques de março e abril, é uma versão modificada do Backdoor.Duuzer, que já foi ligado ao Lazarus.

·Trojan.Bravonc usou para comando e controle os mesmos endereços de IP do Backdoor.Duuzer e Backdoor.Destover, que foram relacionados ao Lazarus.

·Backdoor.Bravonc tem ofuscação de código semelhante ao WannaCry e Infostealer.Fakepude (que foi ligado ao Lazarus).

. Há código compartilhado entre WannaCry e Backdoor.Contopee, que tem ligação anterior com o Lazarus.

Ataque em fevereiro

A primeira evidência do uso do WannaCry identifica pela Symantec ocorreu em 10 de fevereiro de 2017, quando uma única organização foi comprometida. Após dois minutos da infecção inicial, mais de 100 computadores na organização foram contaminados. Os ciberatacantes deixaram várias ferramentas na rede da vítima que forneceram provas substanciais sobre a distribuição do WannaCry.

Dois arquivos, mks.exe e hptasks.exe, foram encontrados em um computador afetado. O arquivo mks.exe é uma variante do Mimikatz (Hacktool.Mimikatz), uma ferramenta de dumping de senha que é amplamente utilizada em ataques direcionados. O segundo arquivo, hptasks.exe, foi usado, então, para copiar e executar WannaCry em outros computadores da rede usando as senhas roubadas pelo mks.exe.

A propagação do WannaCry pelo hptasks.exe foi um processo de duas etapas. Na primeira, quando executado, o hptasks pode receber uma lista de alvos com seus endereços IP como um argumento. Ao receber este comando, hptasks lê as credenciais roubadas anteriormente de um arquivo chamado cg.wry e as usa para conectar-se a cada computador no intervalo de endereços IP. Todas as tentativas de conexão são registradas no arquivo log.dat.

Se uma conexão bem-sucedida ocorrer em um computador remoto e não houver arquivo com extensão .res nas pastas Admin $ ou C$\\Windows, o hptasks.exe copiará os arquivos para o computador remoto. Depois do hptasks.exe executar WannaCry no computador remoto, a segunda etapa começa. Hptasks pode passar vários argumentos para a instalação do WannaCry no computador remoto, incluindo um novo conjunto de endereços IP. Se o WannaCry é executado com esses endereços IP como argumentos, ele não criptografa os arquivos no computador local. Em vez disso, ele se conecta aos endereços IP informados, acessa o compartilhamento Admin$ e C$ nesses computadores usando as credenciais incluídas na seção de recursos em um arquivo chamado c.wry e, em seguida, criptografa remotamente esses arquivos.

Além do hptasks.exe e mks.exe, cinco outras instâncias de malware foram descobertas em um segundo computador na rede da vítima. Três dessas ferramentas estão ligadas ao Lazarus. Duas eram variantes do Destover (Backdoor.Destover), uma ferramenta usada nos ataques da Sony Pictures. A terceira era o Trojan.Volgmer, um malware que já foi usado pelo Grupo Lazarus em ataques contra alvos sul-coreanos.

Ataques em março e abril

A partir de 27 de março, pelo menos cinco organizações foram infectadas com uma nova amostra de WannaCry. Não parece haver um padrão para estabelecer os alvos, com uma abrangência de organizações com diferentes setores e localizações. Esses ataques revelaram mais evidências de ligações entre os responsáveis pelo WannaCry e o Grupo Lazarus.

Dois backdoors diferentes foram usados ​​para implantar o WannaCry nesses ataques: Trojan.Alphanc e Trojan.Bravonc. Alphanc foi usado para inserir o WannaCry em computadores pertencentes a pelo menos duas das vítimas conhecidas, com uma versão levemente modificada do malware implantada em cada vítima.

Alphanc compartilha uma quantidade significativa de código com Backdoor.Duuzer, uma subfamília da ferramenta Destover usada nos ataques contra a Sony e que apaga o conteúdo de discos. Na verdade, os investigadores da Symantec acreditam que Alphanc é uma evolução do Duuzer. O Duuzer também foi ligado anteriormente às atividades do Backdoor.Joanap e Trojan.Volgmer, sendo que ambos possuem ligações anteriores com o Lazarus.

Além das semelhanças nas ferramentas usadas para espalhar o WannaCry, há também um número de ligações entre o próprio WannaCry e o Grupo Lazarus. O ransomware compartilha parte do código com Backdoor.Contopee, malware que possui ligação anterior ao Lazarus. Uma variante do Contopee usa uma implementação SSL customizada, com um cipher suite idêntico, também usado pelo WannaCry.

O cipher suite em ambas as amostras tem o mesmo conjunto de 75 ciphers diferentes para escolha (ao contrário do OpenSSL, onde há mais de 300). Além disso, segundo os especialistas da Symantec, o WannaCry usa ofuscação de código semelhante ao Infostealer.Fakepude, malware que já foi ligado ao Lazarus; e Trojan.Alphanc, malware que foi usado para distribuir o WannaCry nos ataques de março e abril e que possui ligação anterior ao Lazarus.

 


Soluções de Segurança para a Sociedade
Não delegue a segurança cibernética apenas para a TI

Para mitigar os riscos com ataques hackers, toda a corporação precisa se unir, adverte Jun Goto, vice-presidente Sênior da NEC Corporation.

Guerra cibernética passa a ter mesmo status de armas atômicas nos EUA

Comando Cibernético foi elevado em decisão anunciada por Donald Trump e com o propósito de "enfatizar o desenvolvimento de armas cibernéticas para impedir ataques, punir intrusos e enfrentar adversários".

STF autoriza extradição de hacker que teria fraudado US$ 4,85 milhões nos EUA

Tribunal deferiu pedido do governo dos Estados Unidos para extraditar Michael Knighten, que seria integrante de um grupo de criminosos cibernéticos autodenominado Techie Group.

GhostCtrl: o malware que transforma o celular em espião

Segunda versão do GhostCtrl pode bloquear a tela do dispositivo, redefinir sua senha e também rotear o aparelho infectado.

Em dois anos, ransomware levou R$ 80 milhões

Estudo apresentado nesta terça,25/7, em duas universidades dos Estados Unidos, além da Google, investigou 34 famílias de vírus desde o início de 2016. 



  • Copyright © 2005-2017 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G