Nos vemos na RSA Conference 2017

segunda-feira, 16 de janeiro de 2017


A cidade americana de San Francisco acolhe novamente, como todos os anos, um dos eventos mais relevantes no âmbito da segurança em nível mundial, RSA Conference. De 13 a 17 de fevereiro os atores mais relevantes da indústria em nível mundial se reúnem durante essas jornadas e ElevenPaths, a unidade de segurança cibernética da Telefônica, não poderia faltar a este encontro.

Esperamos você no stand #410 do South Hall no Moscone Center, onde vamos apresentar e realizar diversas demonstrações de:
  • Como as redes sociais influenciam na segurança e reputação de uma empresa.
  • Como ter mais segurança na sua vida digital, com Latch.
  • Como funciona Mobile Connect, o novo padrão de autenticação digital.
  • Como detectar vazamento de informações e garantir a autenticidade de um documento com Shadow.
  • Como SealSign garante que é você quem assina seus documentos.
  • Como evitar que a fraude bancária afete as operações da sua empresa com nossa solução Antifraude.
  • Como VAMPS e CyberThreats lhe mostram o que está acontecendo com seus ativos e com a imagem da sua empresa na Internet.
  • E muito mais!
Lembre-se! Esperamos você de 13 a 17 de fevereiro na RSA Conference em San Francisco, no Moscone Center, South Hall, stand #410.  Além disso, na terça-feira 14 de fevereiro às 15h comemore o Valentine's Day da Segurança Cibernética na festa que será realizada no nosso stand.

E para que você não tenha gastos, te oferecemos o passe, totalmente grátis, para acessar a zona de expositores. Para conseguir sua entrada se registrar com o código: XE7TELNCA


Espiões, registros e metadados russos

terça-feira, 27 de dezembro de 2016

Fazem alguns dias soubemos do “assalto” sofrido pelo Yahoo! em 2013 com uma gritante perda de 1 bilhão de contas de usuários, dados relacionados com seus nomes, senhas, perguntas de segurança, etc. e foi mantido segredo até poucos dias, quando finalmente a companhia teve que admitir que em 2014 sofreu outro ataque similar com o roubo massivo de 500 milhões de contas.
Graças a estas revelações o Yahoo! convertesse na empresa líder mundial em clientes afetados pela pirataria informática onde, 97% das 1000 maiores empresas do mundo sofreram vazamentos similares em seus entornos, com maior ou menor repercussão.

Yahoo! é uma mais na longa lista de afetados por ataques em suas bases de dados, se bem que os responsáveis pelo Yahoo! não conseguiram identificar os autores dos roubos, tentou-se tranquilizar seus clientes assegurando que seus dados bancários, números de cartões de credito e outros dados sensíveis não foram afetados. Tendo em vista estes fatos, paira sobre nossas cabeças a possibilidade de algum dia este fato volte a ser notícia com piores consequência no caso de não ser remediado.

Neste tipo de ataque, os trabalhos de espionagem não costumam ser próprios de indivíduos e sim de grupos ou organizações especializadas com objetivos claramente definidos. A NSA e outros grupos de inteligência norte-americanos foram apontados como em diversas ocasiões como envolvidas na obtenção de informações através de metadados, correios eletrônicos, chamadas telefônicas, etc. de pessoas, organizações e até mesmo governos estrangeiros supostamente amigos.

Outros países que tradicionalmente são referências na utilização de espionagem tampouco ficam atrás. Como foi comentado no último verão europeu, segundo fontes norte-americanas o governo russo parece ter participado indiretamente da vitória do candidato republicano e agora o presidente Donald Trump, por meio do grupo de ciber-espionagem russo The Dukes, assim denominados pelo FBI, que estaria formado por duas equipes: Cozy Bear (APT29) e Fancy Bear (APT28) que extraíram e vazaram aproximadamente 20.000 correios e dados de membros da DNC (Comitê Nacional Democrata) onde colocava claramente os duros enfrentamento internos entres os próprios aspirantes democratas a presidência. Essa invasão foi detectada pela CrowdStrike nos equipamentos do DNC a raiz da investigação realizada após a publicação do vazamento em julho no Wikileaks.

Suspeita-se que foi extraído por um dos membros do THE DUKES, Guccifer 2.0, a raiz das provas obtidas sobre alguns documentos publicados pelo DNC, criados originalmente por Warren Flood (pessoa encarregada de prover dados e serviços de analise estratégica aos candidatos democratas) e onde se detectaram certos metadados russo neste arquivo Document. A tradução seria um alias, Felix Dzerzhinsky, nome do fundador da polícia secreta soviética no século XX.


Documento com metadados alterados em Russo
Outra das provas extraídas e publicadas em vários meios mostram uma série de características que demonstram sua procedência russa:

A esquerda um documento publicado por GAWKER em PDF com os hiperlinks em russo. A direita o mesmo documento extraído do DNC, porém, publicado por GUCCIFER 2.0

O objetivo deste vazamento aparentemente consistia em favorecer a vitória do republicano Trump contra a candidata democrata Clinton, como represaria por suas críticas aos resultados parlamentários de 2011. Negado pela Rússia, porém estas evidencias logicamente geram dúvidas.
Os fatos não fazem, mas que refletir a patente insegurança ou incapacidade dos sistemas atuais, sua falta de controle ou gestão, a ausência dos mesmos o dado mais preocupante, o crescente investimento econômico e de recursos na criação e evolução de sistema de penetração, espionagem e ataques cibernéticos, o que demonstra que pode ser muito rentável investir neste tipo de atividades, fundamentalmente quando em muitas das ocasiões estão respaldadas pelos governos ou agencias de inteligência.

Esta é uma guerra perdida?

Evidentemente não, ambos mundos se necessitam para evoluir melhorar. Não existe nada infalível, porém, se os meios e protocolos de segurança são aplicados e seguem corretamente, as coisas se tornam muito difíceis para os “ciberdelinquentes”.

Quer prevenir e detectar em tempo hábil uma fuga de informação? Na ElevenPaths oferecemos soluções para prevenir a fuga de informações através da família Metashield.

Se quiser saber mais sobre o tratamento de metadados, fale com um de nossos especialistas em Cibersegurança na Comunidade técnica da ElevenPaths.

Antonio Bordón
CyberSecurity Product Manager

ElevenPaths descobre a senha do ransomware Popcorn: se o infectado infectar a outros, sua liberação é gratis

quinta-feira, 15 de dezembro de 2016

MalwareHunterTeam descobriu uma nova variante do ransomware bastante curiosa. Na ElevenPaths conseguimos descarregar e analisar as novas versões melhoradas que cometem alguns erros interessantes, entre eles, o que permite conhecer sua senha de “desencriptação”. Esta amostra chama a atenção porque em teoria oferece duas formulas para “desencriptar” os arquivos: uma pagando e a outra se o próprio arquivo infectado consegue infectar o duas ou mais pessoas que paguem o resgate.


The "easy" way and… the "nasty" way

A parte do que se comentou já sobre esta nova versão, nos centraremos nos aspectos, mas interessantes da evolução que analisamos na ElevenPaths. A funcionalidade básica é a mesma de sempre: criptografa-se uma grande quantidade de arquivos segundo sua extinção e, pede-se um resgate de 1 bitcoin (acima da média que habitualmente se pede). O que faz deste ransomware diferente é, oferecer duas vias para a decriptografia do conteúdo: a via “normal” onde paga-se um regate e, a via “nasty” (assim denominada por eles mesmo) em que se envia um link com um executável a duas pessoas e se infectadas e estas pessoal pagam, te darão o código “grátis” para poder decifrar seu conteúdo. Uma forma de distribuição “de amigos para amigos” em que o atacante garante duas infecção pelo preço de uma, e um método de distribuição mais eficaz, posto que as vítimas escolhidas pelo usuário infectado estarão sempre mais predispostas a executar um link enviado por um conhecido. Outra coisa é que pague (suposta condição para que seja aplicado o “desconto”). Também se destaca que o ransomware apela para a sensibilidade da vítima, assegurando que o dinheiro irá para uma boa causa: diminuir os efeitos da guerra na Síria. Anteriormente se chamava “popcorn” porque a primeira versão utilizava o domínio popcorn-time-free.net, porém já não é assim nas ultimas versões.

Appealing to the sensitivity of the victim.
They also lie when they say that there is nothing to do and that only they can decrypt the data.

Os aspectos técnicos
Como funciona este ransomware tecnicamente? Foi criado por um grupo independente sem seguir as diretrizes das grandes famílias e portanto, ainda não está muito desenvolvido. A margem das versões analisadas por MalwareHunterTeam, na ElevenPaths tivemos acesso a novas amostras. Estes são alguns dos aspectos interessante que observamos.

O programa está escrito em C# e necessita de .NET4 para ser executado, O executável é criado “em voo” para cada usuário infectado, com um código ID único para cada uma das vítimas. Curiosamente, todas as variáveis estão “inseridas” no próprio código e, se cria do lado do servidor. Além de que, não segue o padrão habitual do ransomware profissional, em que o cifra cada arquivo com uma chave simétrica diferente e logo esta é criptografada com uma chave assimétrica. Ao contrário, todos os arquivos são criptografados com a mesma chave simétrica. A partir daqui, conhecer a senha é uma questão de analisar o código do executável.

A “password”
Se você “debugar” o código com ILSpy por exemplo, poderá observar a linha que contem a senha em base64. Uma rápida decodificação nos permite obter a senha e os dados de volta. Não criamos nenhuma ferramenta especifica porque provavelmente o atacante mude rapidamente de estratégia e além disso, não parece ser um malware muito avançado e difundido (se alguém estiver infectado, entre em contato conosco, por favor). O fato é que a senha de suas primeiras versões era sempre “123456”.

Como mencionamos, assume-se que a senha (junto com o restante de variáveis) é inserida pelo servidor no momento da criação do executável. Após a análise que realizamos, demonstrou ser um hash MD5 do qual ainda não sabemos a que corresponde. Este hash MD5 esta triplamente codificado com base64 no código.

Partof the code where the password appears and how to decode it in base64. Click to enlarge

O resultado do debug é a senha que introduzida no dialogo correspondente para decifrar os dados sem a necessidade de pagar.



O restante do código as vezes sao um pouco absurdos, embora aparentemente estão trabalhando no dia a dia para melhorá-lo. Por exemplo, o salt na função criptográfica não é aleatório. Isto que em qualquer outra circunstância permitiria um ataque por dicionário, realmente aqui não tem muito efeito (a senha não está em dicionário e sim é um hash), porém a ideia do pouco valor criptográfico que tem este ransomware.

A not very useful salt (12345678), although it is not very important here.

O código HTML
O código HTML que é mostrado a vítima, forma de uma parte muito importante deste malware. Está igualmente inserido e codificado em base64 no código. Nele se observa que se realiza uma comprovação usando as APIs do Blockchain.info (mal utilizada, pois finaliza com aspas no wallet) para saber se foi realizado o pagãmente se ele está validado no blockchain. Utiliza satoshis, que são frações de um bitcoin.

They misuse the API of Blockchain.info, although later they correct it


Sim é assim, apresentam umas URLs ocultas em JavaScript que supostamente dão acesso ao código de “descriptografia” alojadas na rede Tor. Esta proteção (usando uma classe “hide”) é absurda. Ao acessar a elas não identificamos nenhum código de descriptografia. Consideramos que ainda está em fase de provas.


They are supposed to provide you with the decryption code when you pay and visit those URLs, but it does not look like it.

Distribuição “de amigos para amigos”
O que mais chamou a atenção foi o modelo “nasty way” de decifrado dos arquivos. Supõe-se que se envia a dois conhecidos o link executável e estes pagam, te darão o código de desbloqueio. Muito inteligente para obter uma rápida expansão, porém, acreditamos que é falso. O código não possui nenhuma instrução para comprovar que isto ocorre automaticamente. A não ser que toda a inteligência esteja do lado do servidor (coisa que não acreditamos) não se pode garantir (nem evidenciamos tecnicamente) que isto seja assim e por tanto existem muito mais possibilidades de tratar-se de uma simples farsa para distribuir o malware. O fato é que os executáveis gerados não contem informação sobre quem recomendou ou enviou em seu interior, somente o fato de serem criados a partir de uma URL que contém um ID da vítima inicial... porém observando toda a “tramoia” do sistema, sua mal programação, as promessas não cumpridas (conta regressiva ameaçando e que ao final não apagam nada), sua infraestrutura pouco estável e artesanal nos faz pensar que tudo é falso ou que não exista nenhum mecanismo para controlar isto.

Recordem-se que temos uma ferramenta com uma aproximação de proteção proativa contra o ransomware que em breve você poderá descarregar a partir de nosso laboratório.


Sergio de los Santos
ssantos@11paths.com
@ssantosv