Trend Micro analisa possível ransomware que paralisou sistema de trens em São Francisco

hacker-em-acao

Há uma semana, a Agência de Transportes Municipais de São Francisco (SFMTA), foi hackeada, o que paralisou o sistema de emissão de bilhetes dos transportes públicos, fazendo com que as passagens fossem liberadas gratuitamente.

Em análise feita pela Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –, existe a possibilidade de que uma versão evoluída do ransomware HDDCryptor, descoberto pela Trend Micro em agosto deste ano, foi vista “in-the-wild” na semana passada e possa ter gerado o ataque contra a SFMTA.

Neste ataque, assim como constatado pela Trend Micro em outras versões do HDDCryptor, o ransomware usou algumas ferramentas para executar a criptografia total do disco, além da criptografia de compartilhamento de rede mapeado.

É possível que os responsáveis pelas ameaças por trás do ataque não tenham usado exploit kits de maneira automatizada para comprometer e infectar as vítimas de forma instantânea. Ao invés disso, os hackers tentaram primeiramente obter acesso à máquina, muito provavelmente por meio de um ataque mais direcionado ou por um exploit, antes de acionar e executar o ransomware manualmente.

Apesar da Trend Micro não ter obtido informações específicas sobre como isso foi feito em 2 mil máquinas da SFMTA, é muito provável que a execução deste trabalho tenha sido executada em todos os dispositivos que utilizam alguma forma de credencial como administrador.

Quando contatados por pesquisadores da empresa, os responsáveis que utilizaram a nova versão do HDDCryptor responderam com uma mensagem semelhante a que foi vista neste artigo online do CSO.

Imagem com respostas dos hackers: instruções explicam como obter um Bitcoin

trend1

Como o HDDCryptor evoluiu?

Anteriormente, o HDDCryptor executava sua operação por meio de uma conta de usuário conhecida como “mythbusters”. Pouco depois, observou-se que o ransomware mudou o nome do usuário para “ABCD”, provavelmente para evitar que fossem detectados. Na versão mais recente observada, o HDDCryptor não adicionou um usuário. No entanto, o ransomware criou um diretório  “C:\Users\WWW” no qual são feitos colocados os arquivos necessários para executar a criptografia tanto do disco rígido local quanto de quaisquer compartilhamentos de arquivos mapeados.

Depois de tentar criptografar compartilhamentos remotos da rede, o ransomware coloca em prática todas as peças necessárias para a criptografia local e o sistema é reiniciado. A partir daí o HDDCryptor começa a executar os itens que ele precisa.

Inside Banner Mandaê
Loja Integrada – Inside

Print das atividades maliciosas do HDDCryptor após a reinicialização

trend2

Em nenhum dos casos os pesquisadores conseguiram atribuir os executáveis do HDDCryptor a qualquer campanha de phishing ou outros tipos de ataques usados. Aparentemente, os responsáveis têm acesso prévio aos sistemas e executam o malware manualmente.

Qual o Próximo Passo para o HDDCryptor?

Há especulações de que o ataque contra a SFMTA exfiltrou 30 GB de dados e poderão ser divulgados e vendidos na Deep Web. Embora a Trend Micro não possa confirmar que seja este o caso, já era prevista há algum tempo, a evolução do ransomware.

Normalmente, o resgate é exigido para devolver os arquivos originais para o proprietário e fim da história. Em grande escala, é realmente difícil filtrar todos esses dados criptografados e encontrar informações valiosas que poderiam ser vendidas.

Se, no entanto, a vítima for uma organização como a SFMTA, os atacantes imediatamente podem aumentar o resgate e ameaçar divulgar os arquivos como uma extorsão adicional.

Últimas informações

A Trend Micro suspeita que o grupo atacante seja russo ou pelo menos tenha fortes ligações com o país, dado o uso do serviço de e-mail russo Yandex e do software de criptografia DiskCryptor, que, estranhamente, teve seu site removido do ar nos últimos dias. Notícias recentes atrelam o grupo ao Irã, mas mantém a suspeita de alguma ligação com a Rússia, o que pode significar um grupo multi-regional trabalhando junto.

Até o momento não foi encontrada uma maneira de reverter a ação deste ransomware, que utiliza inclusive um software idôneo para criptografar todo o disco rígido das máquinas infectadas. A análise da Trend Micro mostra que a ameaça já se encontra em sua terceira versão e vem evoluindo com o tempo.

Fundado no ano de 2009, o E-Commerce News é um site projetado para profissionais de todas as áreas, interessados nos mais recentes conteúdos sobre o e-commerce no Brasil e no mundo.
  • Todos Fornecedores
  • Consultoria
  • Marketplace
  • Performance
  • Plataformas
    • Gestão de Anúncios
    • Atendimento ao Cliente
    • E-Mail Marketing
    • Sistema de ERP
    • Pagamento Online
    • Mídias Sociais
    • Plataforma de E-Commerce
    • Precificação Dinâmica
  • Serviços
    • Escola Especializada
    • Logística
    • Agência Especializada
    • Redirecionamento de Encomendas
 
Moovin
EZ Commerce
Rakuten
Bling
Accesstage
Mailbiz
LojaMestre
E-Goi
Neoassist
DLojavirtual
Dotstore
Ciashop
Seri.e Design
Web Jump
GhFly
E-Millennium
Bis2Bis
Bluefoot
F1soluções
Xtech Commerce
ComSchool
Brasil na Web
Nação Digital
Trezo
E-Commerce Logística
Softvar
World Pay
Tray
Socialrocket
Mandaê
E-completo
Braspag
Precode
Adena
Loja Integrada
Arroba
Alfa ERP
 

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here