Image default
Security

“Ainda não acabou”, diz jovem de 22 anos que freou a propagação do #WannaCry

O ransomware usado no ataque da última sexta (12/05) causou estragos em várias empresas de todo o mundo, incluindo a FedEx, Telefônica, o Serviço Nacional de Saúde do Reino Unido (NHS), e órgãos governamentais do Brasil, como o INSS, Caixa Econômica, TJSP (Tribunal de Justiça de São Paulo), MPSP (Ministério Público de São Paulo) e muitas outras empresas.

O que talvez muita gente não saiba é como esse ataque foi paralisado repentinamente. Um pesquisador britânico de segurança cibernética, dono da conta @malwaretechblog no Twitter, com ajuda de Darien Huss, da empresa de segurança Proofpoint, ativou o modo “Kill Switch” do software malicioso.

O pesquisador, identificado apenas como MalwareTech, é um jovem de 22 anos do sudoeste da Inglaterra, que trabalha para a Kryptos Logic, uma empresa de segurança cibernética com sede em Los Angeles.

Eu tinha saído para almoçar com um amigo, quando voltei lá pelas 3 da tarde vi muitas notícias sobre a NHS e várias organizações do Reino Unido sendo atingidas pelo ransomware. Tive que saber um pouco mais sobre isso. Então encontrei uma amostra do que estava por trás do malware e vi que ele estava conectado a um domínio específico que ainda não tinha sido registrado. Então eu o registrei, mas sem saber o que ele estava fazendo na ocasião.

O modo kill switch foi codificado no malware caso o criador quisesse impedi-lo de se espalhar. Isso envolveu um nome de domínio longo que o malware chamaria. Se houvesse um retorno e fosse mostrado que o domínio está ativo, então o modo kill switch entra em ação e o malware para de se espalhar. O domínio custou $ 10,69 e foi registrando imediatamente milhares de conexões por segundo no mesmo.

MalwareTech explicou que comprou o domínio porque a empresa na qual trabalha rastreia botnets e registra esse domínios para terem uma visão sobre como uma botnet está se espalhando. “A intenção era apenas monitorar uma propagação e ver se poderíamos fazer algo sobre isso mais tarde. Mas as horas seguintes como foram uma ”montanha-russa de emoções”. Inicialmente alguém relatou que tínhamos causado uma infecção ao registrar o domínio, então percebi que foi realmente o contrário e que nós tínhamos parado isso”, disse ele.

MalwareTech disse que prefere ficar anônimo, “porque simplesmente não faz sentido me identificar, obviamente estamos trabalhando contra os caras maus e eles não ficam felizes com isso”.

Também disse que planeja manter a URL, e que ele e seus colegas estão coletando os IPs e enviando para as autoridades, para poderem notificar as vítimas, pois nem todas sabem que foram infectadas.

Ele pede para as pessoas aplicarem o patch de segurança em seus sistemas Windows, adicionando: “Isso ainda não acabou. Os atacantes vão perceber como nós o paramos, mudarão o código e em seguida começarão tudo de novo. Habilite as atualizações, atualize e reinicie o sistema”.

O jovem disse que conseguiu seu primeiro emprego fora da escola sem qualquer qualificação real, tendo pulado a universidade para começar um blog de tecnologia e desenvolver software.

Sempre foi um passatempo para mim, sou um autodidata. Terminei um trabalho sobre meu rastreador de botnet, e a empresa na qual trabalho agora havia entrado em contato comigo me perguntando se eu queria um trabalho. Estou trabalhando aqui a um ano e dois meses.

Mas o cavaleiro da escuridão da dark web ainda vive em casa com seus pais, e ele brincou que é assim “estereotipado”. Sua mãe, disse ele, estava ciente do que havia ocorrido e estava animada, mas seu pai ainda não estava em casa. “Tenho certeza de que minha mãe irá informá-lo”, disse.

Não será uma mudança de estilo de vida, é apenas uns cinco minutos de fama, esse tipo de coisa. Mas é muito louco, não tenho sido capaz de verificar meu feed no Twitter, simplesmente não consigo acompanhar. Cada vez que eu atualizo são mais 99 notificações.

Ryan Kalember, da Proofpoint, disse que o pesquisador britânico recebeu o “prêmio de herói do dia por acidente, pois não haviam percebido o quanto retardaram a propagação desse ransomware”.

O tempo que MalwareTech levou para registrar o domínio era muito longo para poder ajudar a Europa e Ásia, onde muitas organizações foram afetadas. Mas deu às pessoas nos EUA mais tempo para desenvolverem imunidade ao ataque, corrigindo seus sistemas antes de serem infectadas”, disse Kalember.

O modo kill switch não ajuda as pessoas que já possuem um computador infectado com o ransomware, e é possível que existam outras variantes do malware que continuarão a se espalhar.

Fonte:

https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack

Algumas informações úteis sobre o ransomware WannaCry (compartilhado em várias redes sociais)

Uma vez que tenha sido contaminado o dispositivo da vítima, o ransomware tenta se comunicar com endereços IP de destino na Internet entre as portasTCP 52000 e 53000. É recomendável que este range seja bloqueado na saída de Internet.

Novos IOCs de arquivos:

SHA256:

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79

SHA1:

45356a9dd616ed7161a3b9192e2f318d0ab5ad10 51e4307093f8ca8854359c0ac882ddca427a813c

MD5:

509c41ec97bb81b0567b059aa2f50fe8 7bf2b57f2a205768755c07f238fb32cc 7f7ccaa16fb15eb1c7399d422f8363e8 531ba6b1a5460fc9446946f91cc8c94b 7a2726bb6e6a79fb1d092b7f2b688af0 84c82835a5d21bbcf75a61706d8ab549 b576ada3366908875e5ce4cb3da6153a 4fef5e34143e646dbf9907c4374276f5 8495400f199ac77853c53b5a3f278f3e 5dcaac857e695a65f5c3ef1441a73a8f 7bf2b57f2a205768755c07f238fb32cc c17170262312f3be7027bc2ca825bf0c ae08f79a0d800b82fcbe1b43cdbdbefc 3e0020fc529b1c2a061016dd2469ba96 ad4c9de7c8c40813f200ba1c2fa33083 95673b0f968c0f55b32204361940d184 0252d45ca21c8e43c9742285c48e91ad 2efc3690d67cd073a9406a25005f7cea 17194003fa70ce477326ce2f6deeb27 537efeecdfa94cc421e58fd82a58ba9e 2c5a3b81d5c4715b7bea01033367fcb5 7a8d499407c6a647c03c4471a67eaad7 a622a75aa753797fc2440fcb7e29a710 310591dbe47744fe7b7e1a350358471d aed050ca45d8347949df70a63f57f2e5 117e04d8f52307553f0819b496375b7d

Além da vulnerabilidade do SMB, o malware comunica-se através do protocolo RDP (TCP 3389). Recomendamos que o tráfego para estes serviços seja bloqueado (Internet, rede de parceiros e outros segmentos de rede) até que a situação esteja sob controle.

Endereços IP a serem bloqueados:

202.205.99.58
144.164.229.119
182.35.47.171
176.224.108.136
205.236.19.149
25.178.43.53
102.229.120.205
21.179.145.18
88.147.146.188
101.208.25.1
107.193.178.59
56.54.252.11
75.122.73.254
46.192.71.116
163.227.70.213
110.27.193.250
207.47.161.203
55.177.207.140
22.141.227.209
214.222.65.37
96.84.87.170
158.93.156.167
162.28.242.148
18.151.16.81
129.253.239.150
36.29.206.78
210.35.248.130
50.20.29.90
151.22.37.94
132.106.5.32
30.0.40.87
4.101.18.158
168.103.36.90
216.78.159.126
137.176.178.129
37.91.98.102
6.118.20.203
200.109.165.99
166.54.62.180
149.50.190.185
57.196.23.186
152.107.95.61
131.224.163.18
184.195.16.223
185.19.196.74
68.235.43.207
116.9.28.237
211.156.37.154
102.210.143.50
193.200.201.160
175.167.45.24
172.238.16.116
168.70.38.3
44.212.112.159
58.11.107.200
205.227.105.170
162.155.130.2
19.35.172.97
131.87.77.5
116.168.27.85
171.69.83.182
201.242.119.19
139.208.16.216
5.225.123.187
136.87.154.38
13.6.119.22
13.240.101.202
99.62.95.249
183.224.202.19
142.119.113.147
210.198.199.47
167.175.118.216
61.221.0.228
209.33.250.226
136.42.250.190
68.87.85.214
206.5.112.241
110.153.23.216
116.172.113.157
164.215.181.22
33.67.210.159
36.201.150.172
37.150.230.131
19.68.174.176
182.143.156.248
99.36.189.52
122.104.98.30
174.82.205.144
212.102.133.217
150.14.112.63
139.223.66.59
204.5.220.102
57.158.114.171
156.222.183.123
150.207.190.209
198.243.125.155
199.186.193.46
138.134.102.124
90.219.232.57
81.54.18.174
205.247.164.146
121.75.147.202
205.143.222.251
144.173.4.98
214.89.183.80
60.103.182.203
65.147.36.49
123.17.112.106
126.1.232.215
140.102.61.240
102.226.234.186
99.10.236.176
74.45.18.165
217.63.97.131
4.206.60.133
43.149.104.145
18.135.4.223
184.117.30.107
176.86.155.226
134.38.23.98
143.196.106.137
221.57.241.133
223.233.88.120
88.116.154.210
120.63.98.224
143.206.202.17
79.51.239.24
77.51.87.34
37.59.164.0
170.87.84.34
18.145.99.199
31.32.225.221
99.32.34.161
80.187.153.5
53.107.176.73
43.6.83.123
105.33.233.124
152.10.114.52
65.16.27.70
100.108.81.136
215.44.123.3
33.139.54.44
54.127.0.213
135.80.218.165
185.93.145.194
157.155.117.251
4.167.199.122
22.173.221.154
134.138.43.156
95.99.29.42
122.17.252.20
14.187.50.89
93.63.105.96
215.10.227.16
192.120.114.154
38.29.234.148
121.178.76.79
64.130.249.253
138.232.177.206
22.103.120.210
3.212.84.247
49.172.59.200
41.195.65.233
105.95.167.232
139.203.35.170
15.68.6.12
135.202.47.91
145.173.9.183
157.139.120.173
172.118.10.190
139.182.47.170
170.80.158.150
43.240.97.13
188.208.205.169
196.6.12.0
210.219.217.78
198.215.171.33
88.9.223.110
7.90.97.153
215.82.175.151
13.54.209.118
34.49.188.124
100.105.53.124
209.100.238.214
195.167.30.17
107.73.92.30
156.20.77.9
68.67.67.150
187.136.34.218
26.140.154.130
130.254.220.183
47.243.238.154
115.83.25.253
182.84.195.95
108.162.169.247
216.121.18.91
91.86.43.76
28.206.185.250
99.207.121.14
195.5.252.121
106.94.72.63
85.45.27.241
128.211.17.18
215.159.208.41
210.135.66.138
1.53.154.149
34.38.80.97
144.232.91.176
203.130.167.189
187.218.76.180
152.166.53.219
208.91.90.188
195.177.37.93
111.194.23.4
114.96.80.85
141.25.94.113
129.215.80.68
15.171.52.149
194.91.36.75
173.97.50.48
13.164.179.15
217.76.232.171
15.140.173.8
200.74.132.81
133.24.91.126
85.206.8.136
174.203.168.61
86.23.31.200
217.194.40.14
80.58.176.167
190.77.78.136
92.69.40.236
83.195.175.197
48.46.65.100
207.75.174.248
102.54.236.82
132.180.230.113
69.167.62.145
188.86.42.18
121.51.226.197
160.122.115.240
155.211.199.237
149.7.183.63
122.155.29.248
48.163.14.145
135.238.140.4
39.241.147.141
59.195.43.115
155.132.47.120
180.181.119.127
11.197.176.247
75.222.136.56
34.208.117.164
26.177.225.76
192.17.185.139
2.63.191.229
132.145.3.104
112.242.5.228
110.136.47.126
77.223.157.231
73.225.217.61
6.51.134.228
25.243.131.249
88.82.36.169
135.23.1.16
137.43.2.177
8.219.139.78
122.12.121.76
68.232.17.234
49.174.116.154
129.152.174.230
206.13.122.86
5.25.169.63
150.1.120.62
113.96.229.154
71.190.57.170
209.42.120.239
85.205.88.18
119.185.34.10
42.180.31.148
153.25.242.224
110.44.23.246
135.251.223.83
207.87.38.170
214.32.219.150
217.43.119.19
20.32.100.159
186.81.208.61
100.181.96.39
14.219.85.66
223.12.254.137
21.1.83.27
190.91.134.112
210.79.8.35
16.154.253.245
126.77.209.114
107.190.54.149
212.214.162.170
12.105.6.217
28.199.248.163
6.22.176.56
114.236.156.252
180.147.161.163
149.195.190.210
156.59.160.235
5.243.252.5
201.70.158.152
64.74.139.102
87.110.183.152
210.70.38.42
19.133.209.146
67.163.71.96
6.25.1.129
95.213.143.216
178.234.84.3
65.132.74.166
42.108.24.101
63.92.234.205
164.106.11.243
180.1.226.146
211.211.208.54

TEXTO ORIGINAL:

Temos acompanhado notícias sobre sérios incidentes com o Ransomware WannaCry ou Wcry afetando grandes organizações ao redor do mundo, como a Telefônica na Espanha. Este ransomware afeta diferentes versões do sistema Windows criptografando seus arquivos locais e de unidades de rede a ele conectadas.

O malware se propaga através da exploração de uma vulnerabilidade no protocolo SMB da Microsoft, que permite a execução remota de comandos arbitrários no sistema impactado. Assim, uma vez que uma máquina esteja infectada, há uma grande possibilidade de que o ransomware se espelhe pelo ambiente caso a correção para esta falha não tenha sido aplicada.

Sistemas afetados:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

Recomendações:

O patch para a vulnerabilidade foi disponibilizado pela Microsoft em março deste ano através do Security Bulletin MS17-010. Recomendamos que, caso ainda não tenha sido feito, que a correção seja aplicada nos sistemas afetados.

Adicionalmente, recomendamos que verifique por novas assinaturas das soluções de segurança que possam detectar e prevenir esta ameaça no seu ambiente – principalmente os que fazem inspeção de arquivos ou análise de comportamento de códigos maliciosos.

Não é garantido que o binário do ransomware terá sempre o nome “wannacry.exe” tampouco que os hashes serão os mesmos, mas é válido ainda criar uma política no software de anti-vírus da sua organização impedindo que processos com astring “wannacry” ou com oshashes listados abaixo sejam executados.

Indicadores de comprometimento:

File: wannacry.exe
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
MD5: 84c82835a5d21bbcf75a61706d8ab549

Entenda o ataque

https://www.tecmundo.com.br/malware/116652-wannacry-ransomware-o-mundo-chorar-sexta-feira-12.htm

Posts similares

Apple pode ler suas mensagens enviadas através do iMessages

O Analista

Como o FBI planeja desmascarar usuário da rede Tor

O Analista

Apps de segurança e privacidade que todo smartphone precisa ter

O Analista

Este site usa cookies para melhorar sua experiência de navegação. Vamos supor que você está bem quanto a isso, mas você pode optar por sair, se desejar. Aceitar Ler Mais