• "Cyber Crooks" Exploram Redes de Anúncios para Práticas de Ransomware

    Os famosos "malware peddlers" estão aproveitando as redes de publicidade em tempo real, para entregar ransomware para usuários menos atentos aos mais variados tipos de fraude que são aplicados na Web. O alerta foi feito pelos pesquisadores da FireEye. Chamado de "Real Time Bidding", a prática criminosa é uma espécie de venda e sistema de entrega que permite que sejam feitos leilões instantâneos no momento em que os anúncios são oferecidos na rede. A partir daí, um determinado número de compradores cria lances antes do tempo para uma certa quantidade de anúncios (processo que acontece enquanto as páginas são carregadas) em sites pré-selecionados, e as características demográficas do alvo são determinadas. Quando um usuário vai até a um anúncio, o Ad Exchange premia o maior lance que estiver ativo, correspondente ao perfil demográfico do usuário que estiver visitando o site. Como resultado, o anúncio do vencedor do leilão será exibido. Isso tudo ocorre em tempo real, à medida em que cada anúncio é solicitado a partir dos servidores designados a publicidade. Os servidores de anúncios em questão são legítimos e outros comprometidos, ou tratam-se de servidores de anúncios maliciosos controlados por atacantes.


    Portanto, quando um usuário clica no anúncio malicioso, informações sobre o visitante, assim como localização geográfica, sistema operacional, navegador utilizado e assim por diante são enviadas de volta para a troca de anúncios. O HTML retorna com páginas carregadas de arquivos .SWF e scripts adicionais. Um desses arquivos .SWF é especialmente concebido para explorar uma vulnerabilidade existente no Adobe Flash (CVE-2014-0569), que foi corrigida em outubro do ano passado.


    Ransomware Passou a ser um Pilar Forte para Lucratividade do Cybercrime

    No final do ano de 2013, o malware Cryptolocker começou a assombrar os Estados Unidos. A partir daí, um alerta chegou a ser emitido pelo US-CERT, equipe norte-americana que lida com emergências na área de segurança na Internet, o que mostrou que o caso era de fato bem sério. Porém, o que o vírus tinha de especial para chamar tanta atenção, fora o fato de ter se espalhado rapidamente? O fato é que ele era um ransomware, que é um tipo de ameaça que faz uma hijack nos computadores e arquivos, e depois cobra um resgate relativamente alto para liberá-los. Entretanto, o termo, que vem de "ransom" ("resgate", em inglês) não é exatamente novo, com menções a ele datadas de pelo menos oito anos. A popularização dos vírus da espécie, no entanto, é bem mais recente: em junho de 2013, por exemplo, a equipe da McAfee notou que o número de malwares sequestradores detectados havia dobrado em relação ao mesmo período em comparação a 2012. E mais para o final do ano, a equipe da ESET presenciou um aumento de 200% no total de ransomware entre junho e setembro de 2013.

    O mais relevante neste cenário todo é que, junto desta popularização, houve também um aprimoramento no funcionamento dessas ameaças. Esse vírus inicialmente bloqueava apenas o acesso ao computador, com a utilização de uma espécie de tela de login "falsa". Neste cenário, as pessoas não podiam usar o computador, e precisavam pagar um determinado valor para obter o acesso de volta. E o fato do usuário poder tirar o HD e acessar seus dados a partir de outro lugar, fez com que cybercriminosos melhorassem a ideia existente por trás do ransomware. A realidade é que, o que eles querem hoje, é que a informação seja criptografada. A pessoa acessa o computador, seu sistema operacional, mas eles podem pegar uma unidade inteira de HD e bloqueá-la. E para poder abrir tal unidade novamente, é preciso usar uma chave, pela qual você precisar pagar um determinado valor dependendo do vírus.


    Funcionamento das Práticas de Ransomware e Advento da Praga "Cryptolocker"

    Cryptolocker é uma prática de ransomware bastante conhecida e perigosa, que entra nas máquinas de forma não muito diferente dos malware tradicionais: a partir do phishing. Um e-mail falso, atribuído à FedEx nos EUA, por exemplo, tenta chamar a atenção da possível vítima, que abre a mensagem, baixa um arquivo PDF disfarçado e acaba instalando o vírus em seu computador ao abrir o documento malicioso. Dessa forma, então, o vírus criptografa alguns arquivos usando uma chave pública (bem forte, de 1024-bits, no caso do Cryptolocker), e emite um alerta ao usuário. E é por ele que o usuário fica sabendo que, se um resgate de determinado valor não for pago até uma data estipulada, a combinação que liberaria os documentos seria apagada, e assim, os itens acabariam perdidos para sempre, o que é muito provável que aconteça. O pagamento, deve ser feito normalmente em bitcoins ou por algum outro método que impeça o cybercriminoso de ser rastreado.

    Outros tipos de ransomware estão a solta, lembrando que a maior parte das ameaças do tipo tem como alvo o sistema Windows, pelo fato de ser a plataforma mais usada. Fora o Cryptolocker, um exemplo recente que atingiu (e ainda atinge) o sistema da Microsoft é o BitCrypt2, que segue o mesmo conceito e também usa uma chave de 1024-bits para bloquear arquivos de diversas extensões no HD. O resgate cobrado, no caso dele, girava em torno dos 0,4 bitcoin. Além do mais, existem ameaças também para a plataforma Android, que é alvo pelo mesmo motivo do Windows. Um caso preocupante em relação a esse tipo de praga é o Simplocker, um app malicioso que criptografa arquivos em um cartão SD, cobra um resgate e se esconde usando um servidor hospedado em um domínio na rede TOR. Porém, ele não chega nem perto do tamanho do Cryptolocker em termos de riscos que pode oferecer, e deve infectar apenas aparelhos que se conectam a lojas que não são a Google Play.


    iOS Também Entra na Lista de Sistemas Visados pelo Ransomware

    Aliás, nem o iOS não escapa de ameaças parecidas. O caso, no entanto, não tratava-se bem de um ransomware, nem mesmo de uma aplicação. O que os cybercriminosos fizeram foi usar senhas e nomes de usuários do iCloud que foram vazados na Web para bloquear aparelhos remotamente. Isso é uma função do próprio serviço da Apple, que ainda permitia aos invasores exibissem uma mensagem personalizada na tela dos dispositivos crackeados, no caso, era um pedido de resgate. Em relação à proliferação do ransomware pelo mundo, esses vírus sequestradores, de início, eram uma preocupação maior na Europa (na Rússia, especialmente) e nos Estados Unidos. Mas agora já é possível dizer que existem muitos casos na América Latina. O principal deles é o de um ransomware que se passava por um alerta do FBI. Ele bloqueava o computador das pessoas, exibindo na tela um texto que dizia que a máquina havia sido travada porque continha pornografia infantil ou ilícita guardada nela. Logicamente, a mensagem não estava sendo emitida pelo FBI, era só um atacante que estava usando o logo do órgão.

    Além disso, o alerta emitido ainda dizia que uma multa de 200 dólares precisava ser depositada em uma conta, para que a máquina fosse liberada. E assim, muitas vítimas de fato fizeram isso para conseguir (ou não) o acesso de volta ao seu computador. Esse caso foi visto na América Latina, e depois ainda houve outro parecido envolvendo a polícia da Argentina, e outro no México. E há uma grande possibilidade que algo parecido ainda aconteça por aqui, mas envolvendo a Polícia Militar ou a Federal, por exemplo.


    Como Proceder Diante das Ameaças?

    Pagar o valor que o cybercriminoso pediu para liberar os arquivos é a primeira ideia que vem à cabeça de quem tem o computador infectado. Mas não dá para ter certeza de que o invasor irá, de fato, entregar a chave para desbloquear os arquivos. A pessoa não está falando com uma empresa, e sim com um indivíduo que está roubando seu dinheiro.
    Vale ressaltar que o atacante pode simplesmente pegar o valor do resgate e desaparecer, já que não há uma obrigação real com a pessoa que fez o pagamento. Além do mais, quando a pessoa paga, acaba ajudando esse crime a se espalhar. Se eles perceberem que vão receber dinheiro, vão fazendo isso cada vez mais para ganhar ainda mais e expandir seus lucros através dessas práticas criminosas. E é exatamente por isso que os ransomware estão ganhando forças.


    Prevenção Contra Ransomware

    Por não deixar de ser um tipo de malware, as táticas de prevenção habituais devem ser suficientes para prevenir uma infecção. O primeiro passo é utilizar uma solução de segurança tradicional, que vai proteger de todo tipo de vírus, inclusive dos perigosos ransomware. Mas há algo ainda mais importante do que isso, para evitar eventuais transtornos causados por uma infecção por um vírus sequestrador: fazer backup. Dessa forma, se as pessoas tiverem um backup atualizado dos arquivos, poderão simplesmente formatar o computador sem precisar começar tudo de novo. E caso guardem os documentos em um HD externo, o ideal é mantê-lo longe do computador, principalmente caso você esteja fazendo downloads. Assim, no caso de alguma aplicação maliciosa infectar a máquina, o disco com as cópias de segurança ficará a salvo.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/malware_news.php?id=2987

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L