CDL

Prezados associados,

Estão presentes nos noticiários mundiais ataques cibernéticos por meio de vírus que exploram vulnerabilidades nos sistemas operacionais Windows, seja no computador doméstico ou de uma empresa.

Apesar do Ransomware(1) WannaCry(2) ter sido atenuado por um botão de desligar (kill switch), foi apenas uma questão de tempo para que outros cibercriminosos evoluíssem em seus métodos de ataque e táticas. Foram detectados um Trojan e o novo Ransomware UIWIX. O UIWIX não é o WannaCry
A análise da empresa de soluções de segurança Trend Micro indica que o UIWIX é uma nova família que utiliza as mesmas vulnerabilidades de SMB (MS17-010, que leva o nome de EternalBlue como exposto na divulgação pública por Shadow Brokers(3)) para infectar sistemas, se propagar dentro das redes e escanear pontos de Internet para infectar mais vítimas. O que torna o UIWIX diferente?
Aparentemente o UIWIX não tem arquivos: o UIWIX se executa na memória depois de explorar o EternalBlue. Ao não ter arquivos executáveis, reduz enormemente seu rastro e, por sua vez, dificulta ainda mais sua detecção.

O UIWIX é uma ameaça que tem recursos que contornam a análise de sandbox(4). Se a ameaça identifica que será executada em uma máquina virtual ou sandbox, não realiza sua atividade maliciosa. Aparentemente tem rotinas capazes de recolher o acesso do navegador do sistema infectado, protocolo de transferência de arquivos (FTP), correio eletrônico e credenciais de messenger. Existem mais códigos maliciosos usando o EternalBlue
Além de WannaCry e UIWIX, foi detectado um Trojan utilizando o EternalBlue-Adylkuzz. Esse Malware converte os sistemas infectados em "zumbis" e rouba seus recursos tecnológicos com a finalidade de usá-los para fazer mineração da criptomoeda Monero(5). Como proteger-se:
Aplicar patches de segurança e atualizar os sistemas. Habilitar firewalls, assim como os sistemas de detecção e prevenção de intrusões. Monitorar de forma proativa os tráfegos de entrada e saída da rede. Implementar mecanismos de segurança para outros pontos de entrada que os atacantes possam usar, como o correio eletrônico e websites. Implementar controle de aplicativos para evitar que os arquivos suspeitos sejam executados e modifiquem o sistema de forma não autorizada. Use um bom antivírus. Desconfie de e-mails não solicitados, que contenham arquivos compactados, links. Ter uma rotina de cópias de segurança de informações críticas para seu negócio e também informações pessoais. Estas cópias precisam ser testadas para garantir que a informação é passível de recuperação.

Não deixe de reforçar a proteção em sua empresa! Termos:
1 - Software malicioso que criptografa as informações e solicita o regaste através de pagamento em moeda virtual, esta por sua vez é de difícil rastreabilidade;
2 - Ransomware que afetou grande parte dos países no mundo em 12/05/2017;
3 - Grupo de hackers que invadiu a Agencia de Segurança Nacional (NSA) dos Estados Unidos;
4 - Solução de segurança que faz análise de arquivo suspeito, se é identificado como Malware, ele não deixa o computador ser infectado e pode ser capaz de criar uma vacina para defender outros computadores;
5 - Moeda virtual parecida com a moeda Bitcoin.
Fonte: Trend Micro modificada.

Fonte: SPC Brasil