Nas últimas semanas, recebemos vários relatórios de usuários que foram afetados pela nova variante da ameaça denominada “Anti-child Porn Spam Protection 2.0”, e a forma que esta ameaça se propaga nos permitirá refletir a respeito de como se gestiona a segurança nas empresas. Trata-se de um ransomware que encripta o conteúdo do computador com uma senha gerada pseudo-aleatoriamente, e, em seguida, bloqueia o computador com uma tela como a seguinte:

Malware-Protection

Para que se compreenda corretamente a metodologia de infecção, vejamos as etapas:

  1. Identificação: O ataque começa quando os atacantes localizam um servidor (em geral Windows 2003 Server) que tenha publicado na Internet o serviço de Escritório Remoto (Remote Desktop, porta 3389).
  2. Acesso: Em seguida, começam a explorar algum tipo de vulnerabilidade, seja ataques de força bruta em busca de credenciais padrão ou usuários com senhas deficientes ou diretamente algum bug que permita a execução de código remoto neste serviço (como por exemplo, as vulnerabilidades MS13-029 ou MS13-020).
  3. Elevação de privilégios: No caso de conseguir credenciais com permissões de administrador este item é evidenciado. Caso contrário, procedem a executar algum outro exploit que permitam a execução de código arbitrário com permissões de administrador.
  4. Desproteger o computador: Uma vez que consigam ter privilégios dentro do sistema, desativam qualquer ferramenta de segurança, sejam soluções Antivírus ou ferramentas de monitoramento. No levantamento de computadores afetados, pudemos encontrar diversas soluções de segurança desabilitadas.
  5. Encriptação: Logo continuam a baixar e executar a ameaça em questão, a qual, de maneira automática, encripta (comprime com senha gerada aleatoriamente) todos os arquivos cuja extensão seja uma das seguintes: “.txt, .xls, .xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl”. Em alguns casos, registra-se inclusive que foi eliminado de forma segura algum backup que se encontra no computador. A senha utilizada para encriptar os arquivos é criada no momento de maneira pseudo-aleatória, a qual é logo guardada dentro de um arquivo de texto e enviada aos golpistas. Desta forma, não é possível replicar o cenário para obter os dados para recuperar os arquivos.
  6. Eliminação e bloqueio: Posteriormente, elimina-se de maneira segura, utilizando a ferramenta Sdelete de SysInternals, para evitar qualquer intenção de recuperação da mesma, e, por fim, bloqueiam o computador deixando somente visível uma tela que se observa na imagem acima, solicitando “resgate” (pago em dinheiro) em troca da senha que decodifica os arquivos.

Como podemos observar, a diferença de ataques mais tradicionais e massivos como worms (que exploram vulnerabilidades de forma automatizada) ou cavalos de troia (que utilizam engenharia social para que a vítima execute o arquivo), neste caso os ataques são realizados “manualmente” pelo criminoso explorando diversas vulnerabilidades no sistema, pondo em evidência que a mera instalação de uma tecnologia de segurança não é suficiente caso não esteja acompanhada de uma gestão correta dos recursos de informática e segurança. De que serve uma solução de segurança se a mesma não está protegida por senha para a desabilitação? De que serve uma solução de segurança se o computador onde está instalada possui vulnerabilidades que poderiam permitir acesso com permissões administrativas ao sistema? De que serve uma solução de segurança se as senhas de acesso ao sistema são deficientes?

Faz anos que trabalhamos no sentido de educação e conscientização e compartilhamos com as empresas a necessidade de trabalhar a segurança de forma holística, vendo a problemática da proteção da informação como soma das partes, como uma disciplina que deve ser gerenciada e com soluções complexas, longe das velhas estruturas em que bastava a instalação de uma série de ferramentas. Hoje em dia, as empresas devem trabalhar em um plano de gestão de riscos onde se analisa todo o “ecossistema informacional” e não se veem os problemas de forma isolada, e sim através dos riscos e de forma complexa e completa.

Para terminar, vejamos quais são as melhores práticas que poderiam ajudar as empresas a não serem vistas como afetadas pela ameaça “Anti-child Porn Spam Protection 2.0” ou outras que possuam comportamentos similares:

  • Utilizar senhas fortes (alfanuméricas de no mínimo 12 caracteres de comprimento e que contenham maiúsculas e algum caractere especial) para todos os usuários.
  • Desabilitar qualquer usuário padrão dentro do sistema que não esteja em uso.
  • Preferencialmente não publicar o serviço de escritório remoto na Internet. Caso seja necessário, utilizar uma porta não-padrão ou, melhor ainda, que somente seja acessível mediante conexões de rede seguras como são as redes VPN.
  • Atualizar os computadores com todos os pacotes de segurança correspondentes (recomendamos particularmente corrigir as duas vulnerabilidades anteriormente mencionadas) e a data.
  • Proteger as configurações dos produtos de segurança com senhas fortes. Esse ponto é chave, já que com essa proteção a infecção não pode ocorrer.
  • Contar com uma política de backups que os armazene dentro de sistemas protegidos e preferencialmente isolados.
  • Realizar auditorias de segurança de maneira regular dentro da rede para avaliar os riscos e a segurança dos computadores acessíveis na Internet.

É importante destacar que até o momento não há uma maneira viável de poder recuperar os arquivos encriptados, pelo que é de suma importância que se apliquem as recomendações anteriormente mencionadas.

Este tipo de problemas não é nada novo, porém vem evoluindo de maneira que os arquivos não podem ser recuperados a menos que se pague o resgate. É importante que não sejam feitos pagamentos a estes cibercriminosos, já que não somente se estará incentivando este tipo de ação, sendo que não há garantias de que a senha vai ser realmente enviada.

Joaquín Rodriguez Varela

Malware Lab Coordinator