Uma nova onda de ataque de ransomware parece estar se alastrando no Brasil ao longo do mês de maio. Nos últimos dias estamos recebendo diversas notificações de clientes e parceiros de negócio a respeito de um tipo de infecção que criptografa arquivos com a extensão “.arrow”.
Além das notificações diretas recebidas em nossa empresa, estamos acompanhando o aumento de discussões em fóruns especializados em resoluções de problemas relacionados a incidentes com malwares e a ocorrência de solicitações citando o ataque de um vírus que criptografa os arquivos com a extensão “.arrow” tem sido registrada por muitos usuários na rede. Além disso, estamos acompanhando os boletins da Quick Heal, um centro de pesquisa indiano que foi um dos primeiros a notar o aumento deste ataque, em 25 de abril.
Ao que parece, essa ameaça tem afetado outros países também, mas por algum motivo ainda não identificado, o Brasil parece estar entre os principais alvos dessa nova onda de ataque de ransomware denominado Dharma. Na verdade trata-se de uma variante atualizada que emprega outros meios de infecção. A antiga variante do ransomware Dharma acrescentava a extensão “.dharma”, mas a variante recém surgida altera os arquivos usando a extensão “.arrow” após a conclusão da criptografia.
Vetores de infecção
Conforme especificado no comunicado da Quick Heal, o ataque de força bruta RDP parece ser o principal meio de exploração da ameaça, mas suspeita-se que qualquer um dos vetores de infecção abaixo podem ser usados para espalhar o ransomware:
- E-mails de spam e phishing;
- Kits de exploração;
- Vulnerabilidades protocolos RDP e SMB como (EternalBlue, etc.);
- Drive-by-downloads;
- Deixado por outro malware.
Exploração por vulnerabilidades SMB por ataque via RDP
Apesar de serem citados outros vetores da ataque, destacamos nesse caso a questão da exploração do serviço de compartilhamento (SMB). Neste vetor, o protocolo RDP (Remote Desktop Protocol), executado na porta 3389, é alvo de um ataque típico de força bruta. Como resultado da força bruta, o invasor obtém as credenciais de usuários com perfil administrativo na rede da vítima. Uma vez obtidas as credenciais, ele tem a capacidade de realizar qualquer tipo de conexão na rede. Nesse caso, o ransomware é usado para infectar o sistema. Além disso, é observado que, antes de executar a carga útil do ransomware, ele desinstala o software de segurança instalado no computador.
A recomendação para limitar esse tipo de exploração é aplicar políticas de firewall que atenda os seguintes controles:
- Negar acesso a IPs públicos para portas importantes (neste caso, porta RDP 3389);
- Permitir acesso externo apenas a IPs sob seu controle (previamente autorizados);
- Juntamente com o bloqueio da porta RDP, bloquear também a porta SMB 445. Em geral, é conselhável bloquear todas as portas não utilizadas.
Tipos de arquivos afetados
Abaixo uma lista de tipos de arquivos que podem ser criptografados pelo ransomware Dharma:
“.PNG .PSD .PSP .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV .DWG .DXF.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX .INI .PRF .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG, .BZ2, .1CD”
Recomendações básicas
Além das configurações de proteção no firewall da borda da rede, é altamente recomendável manter os sistemas operacionais atualizados com os últimos patches de correção disponibilizados pelo fabricante, especialmente em relação aos servidores e revisar os compartilhamentos ativos na rede. Obviamente, manter uma solução de antivírus atualizada é fundamental para qualquer computador presente no ambiente.
Em último caso, o backup poderá ser a única saída para restauração completa dos dados, em caso de infecção na rede.
Por isso salientamos que a maior proteção contra ataques de ransomware se encontra na prevenção e para isso é necessário identificar os riscos para que medidas adequadas sejam implementadas previamente, antes da concretização do incidente.
Fontes consultadas: GBHackers / Quick Heal
Imagens: GBHackers /Quick Heal
Texto adaptado: Roberto Henrique – Analista de Seg. da Informação – ABCTec