Quantcast
PplWare Mobile

Cuidado! Novo ransomware do Windows 10 usa modo de segurança para fazer estragos

                                    
                                

Este artigo tem mais de um ano


Fonte: Sophos

Autor: Pedro Simões


  1. cat says:

    “The attackers initially accessed the company’s internal network by brute-forcing the password to an administrator’s account on a Microsoft Azure server, and were able to log in to the server using Remote Desktop (RDP).”

    Acho que se deve informar tendo em conta o contexto deste tipo de ataques. É evidente que pouco há a fazer enquanto os anti-vírus não se tornam capazes de combater este malware. Portanto, cuidado como ? Fazer o quê ?

    Por outro lado, este tipo de ataques são bem localizados, tendo em conta ao trabalho que se dão a infectar a primeira máquina na rede. Sendo assim qual será o grau de risco para um utilizador doméstico ? … definir contexto …

    E sim, qualquer serviço de remote desktop só deve ser iniciado quando necessário. Seria a melhor forma de ter “cuidado”. Mas isso é verdade não só neste caso.

    • Joao Ptt says:

      Usar o “Remote Desktop (RDP)” é um pouco irresponsável nos dias que correm. Qualquer ferramenta de acesso remoto que não seja concebida de origem com autenticação, encriptação forte e tudo o resto a pensar na segurança e privacidade é impensável hoje em dia.
      Usar password hoje em dia é tipo: não! Usem chaves públicas/ privadas Ed448; Ed25519 ou mesmo NIST P-521… porque tipo passwords é um não/ não para acessos remotos.
      Não sei como funciona o RDP nos servidores Microsoft Azure server, mas suponho e espero que eles aceitem encriptação e autenticação forte e chaves públicas/ privadas se o administrador configurar adequadamente, mas li um artigo que aceitam segundos-factores de autenticação, embora configurar aquilo não pareça a coisa mais simples do mundo…

      • cat says:

        Não acho que seja irresponsável usar o RDP. Só acho é que se trata de um serviço que deve ser activado manualmente “on request” ou, se feito devidamente, através de scripts de autenticação.

  2. condór says:

    eina so experts!! —–> “Usar o “Remote Desktop (RDP)” é um pouco irresponsável nos dias que correm” = LOL
    Mister(ério) este ataque agarra se a AD de Azure E SCCM servers das organizações.
    é uma festança de infecções por ai abaixo.

    Informação detalhada desta ameaça:
    (obrigado Pedro Simões)

    #Snatch#

    Name Snatch virus
    Threat Type Ransomware, Crypto Virus, Files locker

    Encrypted Files Extension .snatch, .jimm, .googl, .dglnl, .ohwqg, .wvtr0, .hceem

    Ransom Demanding Message Readme_Restore_Files.txt, RESTORE_WVTR0_FILES.txt

    Cyber Criminal Contact imboristheblade@protonmail.com, newrecoveryrobot@pm.me

    Cyber Criminal Cryptowallet Address 1HsobDYQrg6U1X8uDjQFFFjoSAFVFhHgKU (Bitcoin)

    Detection Names (updated variant)

    Avast (Win64:Malware-gen), BitDefender (Gen:Variant.Ransom.Snatch.1), ESET-NOD32 (A Variant Of Win64/Filecoder.AM), Kaspersky (Trojan.Win32.DelShad.ea), Full List Of Detections (VirusTotal)
    Rogue Process Name wvtr0x64.exe (the process name may vary)

    Symptoms Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.

    Distribution methods Infected email attachments (macros), torrent websites, malicious ads.
    Damage
    All files are encrypted and cannot be opened without paying a ransom. Additional password-stealing trojans and malware infections can be installed together with a ransomware infection.

    • cat says:

      A afirmação até não está muito longe da realidade mas, claro, depende de vários factores.

      Um deles é a forma como o serviço está configurado. Para mim é “irresponsável” expor directamente a porta 3389. Uma parte da solução passa uma simples configuração de firewall no SO filtrada por ip’s. Basta isto para parar um ataque do tipo brute force. Outra parte passaria por ter um NLA que não aceitasse ligações RDP de clientes de um nível inferior, fazendo passar essas autenticações/ligações através de um gateway RD para não expor a rede toda. Montando estes processos, não acredito que tudo fosse uma “festança de infecções por ai abaixo”. Portanto, em si, usar RDP não é irresponsável deles que seja bem implementado. Por outro lado, o uso de RDP “à la gardere” é irresponsável. Mas há mais.

      Outro factor é a forma como o RDP é usado. É muito familiar, fácil de usar, etc. Por isso vamos usá-lo para ligar VM’s Azure, portanto viva o RDS ! No entanto, esta mesma facilidade é dada a os hackers que se aproveitam de serviços expostos e de fácil acesso. Goste-se ou não, é esta a receita. Condimentada com ataques brute-force, TSgrinder e por aí fora. Isto é bem conhecido e existe desde sempre. Basta ver os pacthes contínuos da microsoft . Quantos BlueKeeps este ano ?

      Finalmente, tens algumas alternativas mais seguras que RDP mas que precisam de ser configuradas e mantidas de uma forma menos fácil. Através de um acesso seguro por PowerShell (Group Policies, Certificados) e a configuração do serviço Windows Remote Management (WinRM). Mas claro, quantos sysadmins apostam neste nível de segurança ? Será “irresponsabilidade” não o fazerem ?

      Já agora, o copy&paste do outro site serve algum propósito ou foi algum engano ?

  3. Redin says:

    O sistema de proteção ao ransomware do windows 10 existe e sempre o mantive activo. Só não tenho a certeza é se ele funciona ou está activo nos momentos de acesso em modo de segurança.
    Também falta saber qual o vetor de ataque que favorece o aparecimento desse ransomware.

  4. condór says:

    @Redin em safe mode os modulos de com e protection estão OFF. Agradeçemos a alta inteligencia A.I. dos meninos da Microsoft por isso. Ou seja é uma forma mais simples de funcionamento da protecção (aparece o icon alguns DLL´S e COM´s protegidos de resto nadinha esta protegido) nativa do Windows.
    Muitos ataques são efetuados desta maneira.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.