Compartilhe:

A Avast publicou no início do dia 19/09 um “post-mortem” do incidente involvendo o CCleaner, na esperança de esclarecer alguns detalhes a respeito deste acontecimento que preocupou muitos usuários.

Conforme o site Bleepling Computer divulgou, segue abaixo uma linha do tempo simplificada dos eventos, com base na recente declaração da Avast:

  • 3 de julho – A evidência indica que hackers violaram os sistemas de TI da Piriform.
  • 18 de julho – A Avast decide compra a Piriform, a empresa por trás da ferramenta CCleaner.
  • 15 de agosto – A Piriform, agora parte do Avast, lança o CCleaner 5.33. A versão de 32 bits (CCleaner 5.33.6162), incluia o trojan Floxif.
  • 20 e 21 de agosto – Um produto de segurança da Morphisec detecta as primeiras instâncias de atividade maliciosa (o malware estava coletando detalhes do servidor de download e enviando os dados para um servidor remoto), mas o Morphisec não notifica a Avast.
  • 24 de agosto – Piriform libera o CCleaner Cloud v1.07.3191, que também inclui o trojan Floxif.
  • 11 de setembro – Os clientes da Morphisec compartilham registros de detecção com os engenheiros da empresa, onde detalham atividades maliciosas relacionadas ao CCleaner.
  • 12 de setembro – A Morphisec notifica a Avast e a Cisco sobre a atividade suspeita no CCleaner. A Avast então, inicia sua própria investigação e também notifica as autoridades norte-americanas. A Cisco também inicia sua própria investigação.
  • 14 de setembro – a Cisco notifica a Avast sobre suas próprias descobertas.
  • Setembro ?? – A Cisco registrou, entretanto, todos os domínios que o malware usaria no futuro, para determinar e calcular o endereço IP do servidor de C&C (Comando e Controle).
  • 15 de setembro – Após uma colaboração entre a Avast e as autoridades, o servidor de C&C do malware foi retirado do ar.
  • 15 de setembro – A Avast lança o CCleaner 5.34 e o CCleaner Cloud 1.07.3214 que removem o malware Floxif.
  • 18 de setembro – o incidente do CCleaner torna-se público, conforme os relatórios da Cisco, Morphisec e Avast/Piriform.

O número de usuários afetados diminuiu de 2,27 milhões para 730 mil

Em um e-mail enviado para o site Bleeping Computer, o CTO da Avast, Ondřej Vlček, disse que os dados de telemetria indicam que mais de 2,27 milhões de computadores estavam executando as duas versões comprometidas do CCleaner.

Na declaração atualizada da Avast, os CTOs Vince Steckler e Ondřej Vlček, disseram que o número diminuiu para 730 mil, após os usuários terem removido ou atualizado suas instalações do CCleaner.

A empresa também gostaria de enfatizar que, o compromisso com todos ocorreu antes de comprar a Piriform, e após o incidente, migrou todo o ambiente de desenvolvimento para a sua infraestrutura interna.

Além disso, os dois executivos também queriam garantir que a cobertura incorreta da mídia não causasse qualquer inconveniente aos usuários do CCleaner. Enfatizaram que os clientes não precisam reinstalar ou reverter o sistema operacional para uma data anterior a 15 de agosto. A atualização dos dois aplicativos afetados já é o suficiente, disseram.

Lamentamos o inconveniente que os clientes da Piriform experimentaram“, acrescentou Steckler e Vlček. “Para reiterar, aceitamos a responsabilidade pelo incidente“.

Embora remover a infecção seja fácil, as vítimas devem ser cautelosas

Enquanto a Avast está correta em afirmar que a remoção da infecção é fácil quanto a atualização para uma nova versão que substitui o executável do CCleaner infectado por um não malicioso, isso não significa que os usuários não devem se preocupar.

Como a infecção instalada do malware Floxif estava enviando informações sobre seu computador e tinha a capacidade de baixar e instalar outros programas, as vítimas devem mudar suas senhas e executar varreduras de segurança no computador, utilizando um antivírus, por exemplo.

Sugerimos que as vítimas parem de usar o computador infectado e, em seguida, alterem suas à partir de outro computador ou celular que não possua esta versão do CCleaner instalada. Isso é necessário porque não se sabe se outros malwares foram instalados pelo Floxif ou se atualmente estão em execução, pois podem estar roubando algumas senhas, bem como outras informações.

Depois que isso for concluído, e tudo o que puder ter sido detectado foi removido, então você poderá começar a usar seu computador novamente.

Para os mais paranóicos, ou seja, aqueles que realmente querem ter certeza de que estão seguros, a melhor opção é reinstalar o Windows. É evidente que isso nem sempre é viável, portanto, as ações mínimas sugeridas devem ser concluídas antes de utilizar o computador novamente.

Perigos de ataques à cadeia de suprimentos (Supply-chain)

O incidente foi motivo para alertar o setor de cyber securty, já que muitos especialistas compararam com o incidente do M.E.Doc, onde hackers comprometeram o processo de atualização do software de uma empresa ucraniana e o utilizaram para iniciar do ransomwre NotPetya.

“Se isso não fosse descoberto, acredito que teria ocorrido um enorme e global incidente”, disse Kevin Beaumont, renomado pesquisador de malware, no Twitter. “Nenhum atacante se esforça tanto sem motivo”.

“Os hacks na área de cadeia de suprimentos são reais, estão acontecendo e são um risco verdadeiro. Os fornecedores precisam proteger e bloquear suas ferramentas de compilação e atualização o mais rápido possível”, acrescentou Beaumont.

Entretanto, Scott Arciszewski, Diretor de Desenvolvimento da Paragon Initiative Enterprise, publicou uma série de tweets com informações úteis sobre como as empresas poderiam proteger suas ferramentas de cadeia de suprimentos contra eventos similares.

O site Bleeping Computer elaborou um guia simples do que você precisa saber sobre o incidente envolvendo o CCleaner.

Fonte:

https://www.bleepingcomputer.com/news/security/avast-clarifies-details-surrounding-ccleaner-malware-incident/

Compartilhe: