Um malware zumbi é capaz de causar ataques de ransomware?

A primeira coisa que as pessoas querem saber quando há uma nova história de ransomware por aí é: quanto os criminosos estão pedindo desta vez?

 

Infelizmente, essa é uma pergunta que as próprias vítimas não precisam fazer, porque os chantagistas que acabaram de atacá-las farão com que saibam o “preço”.

 

Em uma história recente e conflitante, um estabelecimento educacional na Escócia foi confrontado com uma demanda de extorsão por uma quantia surpreendentemente específica.

 

Isso era nada mais que os criminosos deixando claro o quanto sabiam sobre a faculdade que estavam atacando – correspondia exatamente ao valor na conta bancária da universidade, que era todo o orçamento para os próximos 12 meses. (A faculdade se recusou a fazer um acordo, então os vigaristas zeraram o saldo bancário.)

 

Mas uma questão muito mais importante é: como o ransomware entrou?

 

Na verdade, essa é provavelmente a questão mais importante de todas. Afinal, o ataque já ocorreu e, caso você não descubra a porta de entrada, ele pode acontecer de novo.

Além disso, um segundo bando de criminosos pode descobrir o acesso ou comprar as informações dos que invadiram primeiro.

 

Em 2020, a Sophos conduziu uma pesquisa com gerentes de TI em 5.000 empresas em 26 países diferentes e perguntaram sobre ataques de ransomware. Pouco mais da metade (51%) revelou ter sido vítima no ano anterior.

 

Como se isso não fosse dramático o suficiente, 40% das vítimas admitiram que foram atingidas duas ou mais vezes – em outras palavras, os criminosos entraram uma vez, e esses mesmos criminosos ou outros voltaram mais tarde para repetir o crime.

Como o ransomware entra no sistema?

Muitas invasões de rede começam com criminosos fazendo login como se fossem usuários genuínos.

 

Às vezes, eles encontram um servidor de acesso remoto legítimo (por exemplo, um Remote Desktop Protocol) com senhas mal escolhidas ou uma configuração insegura.

 

Outras vezes, atraem usuários genuínos para uma página de login falsa, normalmente por meio de um e-mail de phishing astuciosamente redigido e roubam suas senhas.

 

Mas em um número surpreendente de incidentes de ransomware, o mecanismo de entrada imediata acaba sendo um malware existente dentro da rede.

 

Simplificando, uma infecção de malware zumbi dentro da sua rede, ou bot, pode atuar como um Trojan de acesso remoto (RAT) secreto para criminosos.

 

É importante ressaltar que os bots funcionam mesmo em computadores onde regras estritas de firewall impedem conexões de rede de entrada – o que inclui a maioria das redes domésticas, onde as conexões de entrada são normalmente bloqueadas por padrão, seja pelo seu roteador ou ISP, ou por ambos.

 

Atualmente, os RATs e bots iniciam eles próprios conexões de rede de saída.

Eles se conectam externamente a um servidor operado pelos criminosos que controlam o bot e baixam seus comandos de lá.

 

Esses computadores controlados por criminosos são conhecidos no jargão como servidores CnC, C&C ou C2, onde os dois Cs representam comando e controle.

 

Compacto, silencioso e persistente

Como você pode imaginar, um zumbi de acesso remoto de uso geral seria um kit de ferramentas ideal para uma gangue cibercriminosa – por isso, não deve ser surpresa descobrir que podem ser compradas em fóruns clandestinos.

Uma dessas ferramentas, que vimos custando apenas US $ 200, é um “produto” pequeno, mas sorrateiro, conhecido como SystemBC, que é compacto, silencioso e persistente.

 

Sempre que possível, o SystemBC se instala como um serviço do sistema Windows para que possa ser executado automaticamente em segundo plano, mesmo que ninguém faça logon.

 

A SophosLabs acaba de publicar uma análise técnica desse malware, que os membros da equipe de Resposta Rápida da Sophos encontraram no centro de várias campanhas recentes de ransomware de alto perfil que foram chamados para investigar.

Ele é compacto e independente, e não apenas criptografa seu tráfego C&C, mas também usa a rede Tor para anonimato e disfarce:

 

A maioria das comunicações CnC com o SystemBC RAT são feitas por meio de uma conexão Tor. O elemento de comunicação do SystemBC parece ser baseado no mini-tor, uma biblioteca de código aberto para conectividade leve. A implementação do bot do cliente Tor se assemelha muito à implementação usada no programa de código aberto, incluindo seu uso extensivo da API Windows Crypto Next Gen (CNG).

 

O SystemBC aceita comandos que consistem em programas completos, incluindo scripts VBS, arquivos de comando BAT e CMD, scripts PowerShell e executáveis ​​do Windows (arquivos EXE e DLL).

 

Quando um script ou arquivo BAT é enviado ao bot, ele é gravado na pasta TEMP e executado a partir daí, mas quando um EXE ou DLL é recebido, ele é carregado diretamente na memória e iniciado sem gravar uma cópia do executável no disco.

 

Em outras palavras, um criminoso cibernético que opera ou pode comprar acesso a uma rede cheia de zumbis de acesso remoto SystemBC …

 

… Pode silenciosa e facilmente dizer a todos para executar o mesmo programa de ransomware ao mesmo tempo, sem mesmo deixar uma cópia para trás.

Não temos certeza de onde vem o nome SystemBC. BC pode ser abreviação de backdoor connection, botnet client ou backdoor controller, ou pode ser uma referência a Base Crypto, as funções criptográficas do Windows usadas pelo malware para que ele não precise ter uma biblioteca de criptografia de terceiros, como mbedTLS ou OpenSSL compilado nele. Os produtos Sophos relatam esse malware com o nome HPMal / SysBRat-A.

 

O que fazer?

Os criminosos de ransomware usam uma variedade de técnicas para obter o primeiro acesso à sua rede, incluindo spamming de ataques de phishing, cracking ou adivinhação de senhas e busca de servidores de acesso remoto inseguros ou esquecidos em sua rede pública.

Não desista da conscientização do usuário. Trate seus usuários com respeito e ajude-os a aprender como ficar mais vigilantes. Além disso, você pode transformá-los em olhos e ouvidos extras para sua equipe central de segurança cibernética.

Torne mais fácil para os usuários relatar atividades suspeitas. Configure uma lista de correio central ou número de contato para atuar como um “911 de segurança cibernética”.

E conte com as soluções Sophos para ter visibilidade e proteção contra malwares, ransomwares e ataques de phishing em sua rede!

 

Traduzido e adaptado de: https://nakedsecurity.sophos.com/2020/12/17/when-zombie-malware-leads-to-big-money-ransomware-attacks/