WebSegura.net - Phishing, Malware, Facebook, Pen testing, Fraude Emprego, Segurança Informática, DDoS

Criminosos ganham cerca de 13.000 euros/mês com o CTB-Locker

por David Sopas em 10 de Fevereiro de 2015 em Artigos com 1 Comentário Tweet

CTB-Locker [Curve-Tor-Bitcoin Locker] ou Critroni é um ransomware muito popular presente. Propaga-se via email spam com anexos em .zip, que contêm por sua vez um executável .scr/.cab [apenas afeta máquinas Windows].
O executável é um downloader malicioso conhecido como Dalexis [ou Elenoocka]. Caso o utilizador execute o ficheiro .scr, o Dalexis vai tentar descarregar uma cópia do CTB-Locker, armazenado em diversos websites comprometidos.

Após este processo, vai executar o CTB-Locker.
Depois da vítima estar comprometida, o CTB-Locker cifra todos os ficheiros do computador do utilizador e acrescenta 7 carateres aleatórios aos nomes dos ficheiros originais.
Posteriormente, o CTB-Locker apresenta à vítima uma mensagem de resgate e um contador decrescente para mostrar o tempo restante que a vítima tem para pagar o resgate. O malware muda inclusive o fundo-de-ecrã do sistema operativo com instruções para o pagamento.

O método de pagamento é feito exclusivamente em Bitcoins e têm valores entre os 2BTC a 4BTC (cerca de 384€ a 768€).

No Reddit, um utilizador malicioso decidiu abrir o jogo e correr uma AMA [Ask Me Anything] sobre o CTB Locker:

CTB é muito barato se adquirirmos como afiliado mas posso gastar perto de $2.000-$10.000 por mês num ek, traffic, crypter etc

Apenas tento atingir os países UK,CA,US,AU. Estou a fazer cerca de $15.000 por mês e um lucro de $8.000

Já atingi a marca de $300.000. Uma média de $1.000 por instalação

Todos estes Bitcoins recebidos pelos utilizadores maliciosos são posteriormente utilizados noutros esquemas fraudulentos ou mesmo em troca de moeda ou serviços em fóruns, como por exemplo no Hackforums.net. Aparentemente, é uma forma rápida lavar o dinheiro dos ransomware.

Segundo o blogue F-Secure, não existe maneira de quebrar a cifra utilizada pelo CTB-Locker. A única maneira que a vítima tem de recuperar os seus ficheiros, é com backups ou recebendo a chave para recuperar os ficheiros bloqueados pelos utilizadores maliciosos. No entanto, não devem escolher esta segunda opção. Estarão alimentar o crime online e nada garante que irão ter de volta os vossos ficheiros após o pagamento. Não se esqueça que está a lidar com criminosos.

Em Portugal, o CTB-Locker continua bastante presente. Segundo a empresa antivírus ESET, é atualmente a segunda maior ameaça no nosso país.

Fonte: http://virusradar.com/statistics/10/pt

Segundo o Diário Económico, são diversas as empresas afetadas e a PJ já confirmou a existência de diversas queixas.
Na minha opinião, é algo que está ainda a crescer e os utilizadores deverão ser alertados.

Análise do CTB-Locker no VT
Análise do Payload [neste caso o Angler EK] no VT

Para proteger-se contra este tipo de ameaças, deve manter sempre o seu software atualizado [sistema operativo, antivirus, Adobe Flash, Acrobat Reader, Java, etc.] e nunca clicar em links ou anexos duvidosos.

Pode consultar mais dicas de como se proteger no blogue da ESET.

Programas responsáveis de divulgação de vulnerabilidades - A continuação…

por David Sopas em 10 de Fevereiro de 2015 em Entrevistas com 0 comentários Tweet

Dando continuidade ao tema referido no artigo sobre a possibilidade de um programa de divulgação de vulnerabilidades em Portugal, questionei Sérgio Silva, do Conselho Superior da Magistratura, sobre a opinião e o seu ponto de vista legal destes programas.

Que funções desempenha atualmente no Conselho Superior da Magistratura?

Coordenador da Unidade de Informática do Conselho Superior da Magistratura.

Qual é a sua opinião em relação aos programas responsáveis de divulgação de vulnerabilidades em Portugal?

Tendo em conta o panorama actual da segurança informática em Portugal associado à fraca consciencialização para esta temática este tipo de programas serão muito complicados de implementar . As empresas/entidades não reagem bem a possíveis alertas sobre falhas nos seus sistemas e muitas vezes quem faz o aviso fica com uma serie de problemas.

Numa conversa anterior, referiu que, mesmo que a empresa com estes programas, contratualizar quem testa as vulnerabilidades, é difícil diferenciar o que entra no programa e um possível ataque real. Existem soluções para este tipo de problema?

É uma questão muito complicada dado que quem testa pode sempre tornar-se num atacante real. A solução passaria por uma credenciação de quem poderia aderir a esse programa, ou seja a criação de uma comunidade portuguesa devidamente identificada que estaria autorizada a fazer os testes de vulnerabilidades das empresas que tivessem integradas em programas responsáveis de divulgação de vulnerabilidades em Portugal.

A atual lei portuguesa não prejudica a comunidade infosec?

A legislação Portuguesa, Lei n.º 109/2009 de 15 de Setembro, em matéria de Cibercrime é das mais completas e avançadas a nível europeu, basicamente todos as técnicas usadas pela comunidade infosec podem ser tipificadas nos vários artigos da referida lei .
O simples facto de alterar uma url de forma a produzir um erro, como por exemplo uma falha de SQL , pode ser considerada como tentativa de acesso ilegítimo e punida com pena de prisão até 1 ano ou com pena de multa até 120 dias.
No entanto e como é referido no nº6 no artigo 6.º da Lei n.º 109/2009 o procedimento penal depende de queixa, ou seja quando alguém da comunidade infosec descobre uma vulnerabilidade e a reporta corre o risco de que a entidade a quem reporta o erro fazer queixa.
A lei Portuguesa não prejudica em nada a comunidade infosec, o que prejudica é mais uma vez a falta de consciencialização dos “donos dos sistemas”, o investimento em segurança informática é muito diminuto e muitas vezes nulo, Portugal ainda não despertou em termos de Ciber Segurança e isso sim prejudica a comunidade infosec.

Para terminar, qual a sua opinião em relação à segurança dos sites governamentais. São constantes os sites desfigurados a várias entidades do governo. Será que não estamos todos em risco?

Penso que não existe uma grande diferença entre sites desfigurados governamentais e empresariais, o que difere é que um defacement num site governamental tem sempre mais impacto nos media do que num site empresarial.
Do meu ponto de visa as razões que levam a que este tipo de ataque tenha sucesso prende-se com o facto de que pura e simplesmente as plataformas são postas online e depois não existem procedimentos de monitorização ou de actualizações dos sistemas, quase nunca estão previstas nos contratos.
Actualmente é possível ver sites com vulnerabilidades que foram descobertas à mais de 3 anos e que já deviam ter sido corrigidas.
Outra questão é que quando se usam plataformas de CMS e é aplicado um template nem sempre se verifica a origem desse template ou se existe algo que possa comprometer o site no código do template.
Respondendo se estamos todos em risco a resposta é sim .
No entanto não tem a ver com sites governamentais onde são feitos defacement, tem sim a ver com a falta de estratégia a nível nacional na área da segurança informática e de um ecossistema de desenvolvimento de sistemas de informação em que a segurança informática não é a base mas sim um acessório.
Basicamente estamos a construir castelos e só no fim é que nos lembramos que deveríamos ter um fosso para impedir o ataque dos inimigos quando na lógica da estratégia defensiva o fosso deveria ser a primeira coisa a ser construída.

Agradeço ao Sérgio a disponibilidade que teve em responder ao WebSegura.net e a esclarecer algumas dúvidas que existiam na comunidade infosec.

Aumento da largura de banda, aumenta força dos DDoS

por David Sopas em 5 de Fevereiro de 2015 em Artigos com 0 comentários Tweet

Créditos da foto: http://threatpost.com/

Com o aumento da largura de banda por parte dos ISPs aos utilizadores, impacto dos ataques DDoS também aumentam. Esta situação, derivada em grande parte do desconhecimento por parte dos utilizadores de protegerem corretamente o seu router, leva a uma amplificação dos ataques DDoS.

No meu ponto de vista, é para mim óbvio que não devemos limitar o aumento [da largura de banda] mas sim obrigar os fornecedores a lançarem atualizações para os routers e a enviarem informação regular com informação para os clientes melhorarem a segurança do equipamento contratado. Alguma vez receberam alguma newsletter ou notificação por parte do vosso ISP em relação a segurança?

Trocar a password de acesso de administração de acesso ao router; trocar chave de acesso ao Wi-Fi e desligar serviços que não utilizam poderá prevenir imensas complicações de segurança.

NTP e SSDP continuam a ser as técnicas favoritas para os ataques DDoS e a contratação de Booters [inclusive por portugueses] para o efeito já é um serviço conhecido. A questão é que nos últimos anos, a largura de banda destes ataques aumentaram exponencialmente. De referir que há uma década atrás, o maior ataque DDoS registado tinha pico em 8Gbps. Em 2014, o maior pico registado foi de 400Gbps.

Recentemente, recebemos no WebSegura.net uma notificação do Pedro Fernandes, de dois artigos que demonstram algumas fragilidades no software dos routers da ZON[NOS].

http://djprmf.com/nos-os-vossos-router-necessitam-de-uma-5473
http://djprmf.com/nos-wi-fi-powered-by-fon-dns-spoofing-5805

Também em novembro de 2014, o especialista de segurança Marco Vaz da empresa portuguesa da Integrity, encontrou uma falha nos routers Belkin.
Pessoalmente é de dar valor aos portugueses que demonstram este tipo de fragilidades.
Em Portugal temos qualidade na área de segurança de informação e é preciso apoiar estas iniciativas.

Claro que existem outros fatores de risco, como por exemplo um malware instalado num computador que funciona como zombie à espera de ativação para uma botnet. Tem de existir um fator de informação para o utilizador entender que o seu computador poderá ser uma via para ataques informáticos. Se o utilizador entender este fator, é um passo para o caminho de uma solução e diminuição de ataques DDoS e outro tipos ataques informáticos.

Da nossa parte, iremos sempre que possível alertar problemas relacionados com este assunto, mantendo o nosso papel de ajudar a comunidade.

Magnet - um novo malware no Facebook

por David Sopas em 4 de Fevereiro de 2015 em Alerta FB com 0 comentários Tweet

Um novo malware, descoberto por Mohammad Faghani e intitulado de Magnet, está a propagar-se pelo Facebook utilizando um suposto vídeo pornográfico e com mensagens apelativas. A ideia é que, os utilizadores desta rede social mais curiosos, cliquem no suposto vídeo.

Em apenas dois dias, este malware infetou mais de 100.000 utilizadores. Este número deverá aumentar nos próximos dias.

Ao clicar no link que acompanha o post de Facebook, assim que o utilizador começa a ver um vídeo, é reencaminhado para uma instalação de uma falsa atualização do Adobe Flash Player.
Já reparei que a imagem erótica que acompanha este conteúdo malicioso vai sendo modificada e por isso a minha recomendação é simplesmente não clicar nestes links.

Embora o Facebook tenha sistema automatizados para prevenir ligações maliciosos se propaguem pela rede, muitas conseguem ultrapassar este tipo de proteção e infetar milhares de utilizadores curiosos.

Instalei o malware num ambiente controlado e reparei que, após a instalação da suposta atualização do Flash [extensão para o browser], o Magnet partilha no Facebook o link malicioso e identifica 20 amigos na rede social. Também gosta de uma ligação duma página de Facebook e pelos vistos, já são bastantes os likes.

O Magnet aparenta ter um um sistema keylogger [monitoriza rato e teclado] e aceita comandos C&C [command & control].

Faghani acrescenta que este malware atualiza-se automaticamente com novos padrões de ataque e bloqueia diversos tipos de proteção contra estas ameaças.

Uma nova variante deste malware, força a vítima também a seguir uma conta no Twitter.

Quem quiser acompanhar o desenvolvimento deste malware pode fazê-lo seguinte a sua assinatura MD5: https://malwr.com/analysis/ZDkyZWIwZGI4YjA2NGNiZjk4MDRlMmMzZmNjN2Y4YjA/.
Saliento que o pacote PT-pt está incluído neste malware, e como se pode ver no mapa, Portugal está entre os muito infetados com o Magnet.

Relatório completo do Mohammad Faghani - http://www.faghani.info/report.txt

Programa responsável de divulgação de vulnerabilidades

por David Sopas em 29 de Janeiro de 2015 em Artigos com 0 comentários Tweet

Um programa responsável de divulgação de vulnerabilidades passa por criar uma secção onde os utilizadores, particularmente da área da segurança de informação, possam enviar possíveis falhas de segurança em software. Essa comunicação é feita diretamente sem qualquer divulgação pública, para que deste modo, as entidades visadas possam corrigir a falha em segurança sem qualquer perigo de ser explorada. Logo que a vulnerabilidade esteja corrigida, o autor é recompensado e poderá, na maioria dos casos, divulgar com algum detalhe essa falha.
Na minha opinião, é uma forma de aproximar os profissionais e entusiastas de infosec com as empresas. As empresas por outro lado, têm a oportunidade de proteger os seus clientes de uma forma mais barata e segura. Mesmo que tenham um departamento de segurança, por vezes um outsider consegue pensar fora-da-caixa e encontrar algo que escapou às auditorias.

Um bom exemplo deste tipo de programas é o do Google. Na página do programa é possível ver as limitações e as regras a aplicar aos participantes.
Sem dúvida um bom exemplo a qualquer empresa que queira seguir e iniciar este tipo de programa.

Só para referência, recentemente um utilizador ganhou $5000 por ter encontrado uma falha XSS na página de administração do Google Apps.

São muitas as empresas que optam por estabelecer programas responsáveis de divulgação de vulnerabilidades.
Vou apenas referir apenas algumas, no entanto poderão consultar uma lista completa e atualizada no Bugcrowd:

Google
Microsoft
Yahoo!
Twitter
Facebook
PayPal
Dropbox
Pinterest
Apple
eBay

As recompensas vão desde dinheiro, swag ou mesmo à referência numa lista Hall of Fame.

Estive à conversa com o Tiago Henriques - CEO da BinaryEdge - e falámos um pouco sobre este tema:

Qual é a tua opinião sobre os programas responsáveis de divulgação de vulnerabilidades?

Acho que este tipo de programas é bastante bom quando feito corretamente. Um bom exemplo na minha opiniao é o do Google Project Zero, no qual existe um tempo limite (90 dias) em que os vendors têm que produzir e dar release de um patch pois o Google liberta os detalhes dessa vulnerabilidade para o mundo. Existem pessoas que criticaram a Google pois eles deram release de umas vulnerabilidades do Windows antes da Microsoft ter o patch pronto, mas na minha opinião se uma entidade nao consegue produzir um patch e testar em 90 dias algo está errado com o seu ciclo de desenvolvimento de software.

Achas que em Portugal existe abertura para este tipo de programas?

Acho complicado. Conseguia ver o SAPO por exemplo a arrancar com um programa destes mas não muitas mais empresas. Em Portugal ainda se tem muito medo deste tipo de programas e uma mentalidade muito fechada para estas coisas. Não esquecendo que ter um bug bounty envolve ter que pagar uma recompensa, o que significa um custo adicional, com as condições económicas em Portugal de momento, acho muito complicado. Lembro-me também perfeitamente à coisa de 2 anos atrás estar numa conferência em Portugal na qual ouvi um responsável de segurança dizer “Se alguem faz um portscan que seja a um dos meus ips espero que alguma accao legal seja realizada” este tipo de mindset ainda é muito antiquado e não corresponde à realidade em que nos encontramos.

Que tipo de empresas ou organizações em Portugal estariam dispostas aderir a este tipo de programa?

Como mencionado anteriormente na minha opinião: SAPO, uma empresa que considero espetacular em Portugal e com uma excelente equipa de segurança, alguma da malta mais competente e inteligente com quem já tive o prazer de colaborar. Outra empresa que também tem um espirito jovem e que acho que poderiam ter algo é a Blip.

Existem diversos casos de portugueses que já entraram em programas no estrangeiro [Google, Yahoo!, Microsoft, etc] e alguns até ganharam uns euros. Este tipo de iniciativa poderá ser uma porta de entrada para uma oportunidade de emprego?

Oportunidade de emprego nao digo. Eu pessoalmente já participei em bug bounties (via Bugcrowd e Prezi) e já tive dias, em que, em 40 minutos, fiz perto de $2500, como tive 1 mês em que fiz $300. Nao é fixo. Tem que se entrar nas bounties cedo, apontar logo para sitios especificos onde normalmente todas as apps caem (isto vem com a experiência), e conseguir ser dos primeiros a reportar. Portanto substituir um emprego não, mas trazer mais uns trocos para casa isso sim, definitivamente.
Caso encontres uma vulnerabilidade, ou participes em programa de bug hunting acho que é sempre um boost no teu CV, que te dá uma vantagem (grande) vs outros potenciais candidatos. A coisa boa é que é uma forma boa, grátis e LEGAL de ganhares experiência em segurança enquanto também fazes uns trocos. Para a malta dos Anonymous e Lulzsec etc em Portugal digo “Não percam tempo a fazer DDoS, foquem-se neste tipo de programas, no futuro irá ajudar-vos bastante.”

Achas que é um dever cívico se um utilizador encontrar uma falha de segurança num site e divulgá-lo à entidade responsável?

Ui… Depende. Se for em algo como um dispositivo médico, ou algo que possa por em perigo vida de pessoas (infrastruturas criticas ligadas a internet, como redes electricas e de água ou gás que estejam expostas) aí sim, acho que se deve avisar logo e corretamente. Agora se for umas entidades que não são críticas, acho que não se deve fazer absolutamente nada. Falo por mim. Se encontrar uma vulnerabilidade num router ou numa framework ou em algum software que seja usado mais wild, vou primeiro a um programa como a ZDI para o tentar vender e só depois se vir que não sai nada daí é que reporto à entidade responsável. Mas acho que é importante notar-se que não tem só haver com o “se reportar” ou não. É importante depois de se reportar, apontar os timelines e avisar a entidade que ao fim de X dias iremos tornar a vulnerabilidade pública, de forma a obrigar que essa entidade não fique parada.

Realmente o Tiago tem razão, no aspeto de estabelecer um timeline para que a falha seja corrigida. Recordo-me que uma vulnerabilidade DOM XSS que encontrei no Tripadvisor demorou cerca de 1 ano para ter correção e inumeros contatos. Empresas com esta dimensão deveriam ter uma resposta mais rápida a este tipo de situações.

Seria interessante que este artigo servisse de inspiração a alguma empresa portuguesa em criar este tipo de programa. Nós no WebSegura.net teríamos todo o gosto em partilhá-lo com os nossos leitores.