Polícia Ucraniana prende dois grupos de cibercriminosos

cybercrime

Dois grupos de cibercriminosos foram presos esta semana, envolvidos em ataques DDoS contra agências de notícias e desvio de dinheiro em contas bancárias de cidadãos ucranianos.

De acordo com as autoridades, um dos grupos de criminosos infectaram computadores com um malware do tipo trojan, depois de escanear endereços vulneráveis na Internet, obtendo acesso e controle remoto total sobre estes ativos.

Após o comprometimento, foram habilitados keyloggers nestes sistemas, permitindo que os atacantes coletassem credenciais bancárias das vítimas, e desviassem o equivalente a 178 mil dólares em fundos, ou criptomoedas. Como as operações ocorreram durante o dia, e com a utilização de credenciais legítimas, as instituições bancárias não perceberam a atividade criminosa.

Os quatro acusados, na faixa etária entre 26 e 30 anos de idade, enfrentarão indiciamentos pela infração de diversos artigos do Código Penal da Ucrânia, incluindo o roubo e interferência no funcionamento de computadores, sistemas automatizados, redes de computadores ou redes de telecomunicações.

Outra dupla de cibercriminosos foi detida por suspeita de conduzir ataques DDoS contra diversos recursos críticos ucranianos, incluindo sites de notícias na cidade de Mariupol, e outras instituições educacionais do Estado.

De acordo com o comunicado das forças policiais, os dois acusados desenvolveram ferramentas que foram usadas para enviar centenas de consultas automáticas para os alvos em questão, eventualmente exaurindo seus recursos computacionais e os deixando indisponíveis. Na faixa entre 21 e 22 anos, ambos podem ser condenados a até 6 anos de prisão.

O artigo original, em inglês, pode ser conferido através deste link.

Um laptop comprometido é o suficiente para derrubar todas as defesas

cansado

Pelo menos é o que a empresa de segurança cibernética, Crowdstrike, demonstrou em um dos casos detalhados em seu relatório Cyber Intrusion Services Casebook 2018, e que vem nos lembrar o quanto é importante mantermos em mente que dispositivos móveis, sejam eles corporativos ou particulares, devem receber cuidado especial quando tentarem se conectar às redes internas.

Tudo começou quando um dos colaboradores de uma grande empresa de vestuário, de posse de um dos laptops corporativos, resolveu clicar em um link de email de um dos parceiros comerciais da referida companhia. As empresas citadas tiveram suas identidades preservadas.

Não haveria nada demais nesta ação, a não ser que o referido equipamento contasse com proteções apenas quando estivesse dentro dos limites da rede interna, algo que não era o caso no momento, visto que o colaborador estava acessando a Internet a partir de uma cafeteria, e que o link constante no citado email não fosse um phishing, que redirecionaria este mesmo colaborador para um site previamente comprometido.

Os pesquisadores da Crowdstrike relataram que o referido site havia sido afetado por vulnerabilidades relativas a gerenciadores de conteúdo como WordPress e Joomla, e que foi vítima de uma campanha envolvendo engenharia social e malwares, conhecida como FakeUpdates.

A mecânica do ataque consistia em que o visitante fosse enganado para acreditar que seu navegador web precisava de atualização, o que permitia aos criminosos a instalarem trojans e ferramentas de controle no equipamento da vítima.

Quando retornou para o ambiente corporativo, o laptop passou a servir como porta de entrada para que os atacantes iniciassem o comprometimento da rede, permitindo que estes acessassem dezenas de sistemas, que puderam ser afetados através da utilização das permissões de usuário da vítima.

A partir daí se iniciou a coleta de credenciais privilegiadas, e a obtenção de acesso a servidores, com o ataque se entranhando ainda mais na rede corporativa. Privilégios de administrador local facilitaram as ações dos criminosos, permitindo que estes obtivessem controle do domínio, e deixando a companhia completamente exposta. Os atacantes infectaram o servidor da loja de varejo, com o intuito de coletar dados de cartões de crédito.

Os pesquisadores identificaram um grupo de criminosos cibernéticos chamado Indrik Spider como sendo os autores do ataque, cujas operações remontam a 2014, e que se suspeita ter rendido milhões de dólares aos atacantes.

O relatório não esclareceu se o objetivo do ataque foi alcançado, e se dados de cartões de crédito foram coletados da companhia. Porém nos faz refletir nas políticas de segurança aplicadas nas empresas, nos mecanismos implantados para impor estas políticas, e no comprometimento da alta direção na imposição destas políticas.

Recursos de segurança, como endpoints, antivírus e firewalls, devem ser providos para proteger os equipamentos corporativos quando fora do perímetro das redes da empresa.

Por mais que o dispositivo móvel tivesse sido comprometido no exterior da companhia, mecanismos de regulação de acesso como um NAC (Network Access Control), vinculados a recursos de sanitização de equipamentos, e segregação de redes, poderiam ter evitado a contaminação da rede interna através do isolamento e desinfecção do dispositivo.

A utilização de credenciais com privilégios de administrador local também deve ser restrita ao mínimo de pessoal necessário, e visando apenas atender a demandas específicas.

Políticas para BYOD (Bring Your Own Device) devem ser cuidadosamente desenhadas, visando garantir que os dispositivos atendam a requisitos mínimos de segurança, antes que possam obter acesso à rede interna e, ainda assim, restringir este acesso ao mínimo de recursos necessários.

Estas e outras formas de proteção devem ser empregadas, visando elevar o quanto possível os níveis de segurança dos ativos envolvidos, mitigando os riscos a que estes são expostos diariamente, devendo, portanto, ser avaliadas e aplicadas de acordo com o perfil de cada empresa, bem como considerando os recursos e alternativas disponíveis para estas implementações.

Para acessarem ao artigo original, em inglês, dirija-se ao site da ZDNet.

Linux.Backdoor.Xnote.1, novo backdoor para sistemas GNU/Linux encontrado

Segurança na web

Um novo malware, do tipo backdoor, foi encontrado e analisado pela equipe de pesquisadores da companhia Dr Web, que produz e comercializa soluções em segurança da informação, como anti-vírus doméstico ou corporativo, iclusive para distribuições GNU/Linux. O malware descoberto foi nomeado como Linux.Backdoor.Xnote.1, e possui capacidade para a execução de diversos tipos de tarefas maliciosas, entre elas a de montagem de ataques DDOs.

Obviamente este backdoor só é instalado em sistemas que estejam sendo executados com privilégios de superusuário, quando do momento de contato com o agente infectante, e tão logo consiga acesso ao sistema, o malware verifica se já existe alguma versão dele em execução e caso a checagem retorne positiva ele interrompe a nova instalação, mas caso a avaliação retorne negativa, e ainda não exista uma versão sua sendo executada no sistema, ele então cria uma cópia de si mesmo no diretório /bin na forma de um arquivo chamado iptable6, e em seguida apaga o arquivo que originalmente foi usado para inicializá-lo. O malware também procura por qualquer script no diretório /etc/init.d que comece com a linha “#/bin/bash”, e então adiciona outra linha de comando a ele para fazer com que o backdoor seja inicializado automaticamente.

Uma vez que tenha o controle do sistema, o backdoor pode designar uma identificação única para o sistema infectado, e o atacante pode utilizar este malware para iniciar um ataque DDOs em um host remote com um endereço específico, podendo montar ataques de SYN Flood, UDP Flood, HTTP Flood, Amplificação NTP, ou mesmo parar um ataque por ele iniciado, atualizar seu executável, escrever dados em determinado arquivo, remover-se do sistema, entre outras atividades.

A assinatura padrão deste malware já foi adicionada à base de informações dos produtos de segurança mantidos pela empresa. Para maiores informações a respeito deste backdoor, acesse o artigo original, em inglês, através do blog da companhia.