Você está preparado para um evento “tipo” Cryptolocker?

No último mês de Setembro o US-CERT, parte do Department of Homeland Security (DHS) responsável pelos esforços de melhoria da segurança cibernética nos EUA, anunciou um estado de atenção “vermelho” em referência a uma nova ameaça criptográfica. Este tipo de malware em questão não é recente, existem relatos de outros malwares mais antigos [1], [2], e esta segue os mesmos princípios básicos de um “Ransomware”. O que é diferente neste caso, e que chama atenção pelo requinte de desenvolvimento, são as ferramentas acessórias que ela utiliza para monetização bem como para potencialização do dano causado, e ainda pela possibilidade de se obter suporte do criminoso virtual que desenvolveu esta ameaça.

Ransomware é um tipo de ameaça onde os arquivos do usuário, tanto de sistema como dados pessoais, entre eles: documentos, imagens, emails e outros, são continuamente criptografados utilizando uma senha secreta conhecida apenas pelo fabricante do malware. Que após algum tempo, apaga estes arquivos (de forma irreverssível, sobre-escrevendo repeditas vezes a área da informação), e apresenta algum tipo de aviso exigindo um valor financeiro para “libertar” os dados encriptados, devolvendo eles para o usuário [3]–[5].

Segundo esta descrição o Cryptolocker não é uma inovação no quesito de ameaças digitais, ele se comporta da mesma forma que seus predecessores. O que é interessante desta nova implementação de malware, é que ele utiliza ferramentas atuais tanto para identificação do alvo, quanto para proceder com a troca financeira que consiste na recepção do fruto do “sequestro digital”.

  • A motivação

Considerando a parte do alvo, a crescente interação do usuário com o mundo digital, serve como motivação para os desenvolvedores desta ameaça. O público alvo é gigantesco e não para de crescer. Todos os documentos, fotos, vídeos, emails armazenados localmente, espaço de armazenamento em núvem (como Dropbox ou Google Drive), isto sem falar das senhas armazenadas localmente para serviços online de todo tipo e formato (redes sociais e aplicações WEB), de todo usuário, e novo usuário do mundo, estão sujeitos a uma ameaça deste tipo (guardando-se o sistema operacional alvo para cada ameaça, que no caso do Cryptolocker é a família de SO’s Windows).

  • Inovação tecnológica

Este tipo de ameaça, apesar de não ser inédito, apresenta novos requintes de criptografia. O Cryptolocker introduz a criptografia de chave pública com cifras RSA de 2048 bits. Onde, uma vez encriptados, a vítma só terá acesso a seus arquivos novamente com a utilização da chave privada correspondente, que fica armazenada nos servidores do atacante. Um par de chaves único é gerado para cada nova infecção, e o malware cobra um valor de “resgate” para fornecer a chave privada que permitirá decifrar a infromação criptografada.

  • Monetização

Já no que se refere aos mecanismos financeiros para monetização, o Cryptolocker utiliza técnicas simples, porém extremante eficazes para anonimizar as transações financeiras. Uma vez infectado, um sistema vítma do Cryptolocker irá apresentar uma mensagem em até 72 horas, solicitando o pagamento de uma quantia em dinhero. Até aí não existe diferença entre esta nova ameaça e qualquer outro ransomware anterior. Em edições anteriores, as autoridades iriam rastrear qualquer pagamento efetuado, como: transferência bancária, ou débito em cartão de crédito, que normalmente estariam associados a contas sequestradas ou cartões de crédito roubados. O Cryptolocker inova mais uma vez e utiliza a força da própria criptografia para garantir a anonimidade dos pagamentos e a irrastreabilidade, permitindo o pagamento com a utilização de “BitCoins”, uma moeda criptográfica virtualmente irrastreável e amplamente disponível em qualquer lugar do mundo com acesso a Internet.

  • Formas de contágio e disseminação

Inicialmente o Cryptolocker se comporta como um trojan típico. Distribuido por um esquema de SPAM e engenharia social que tenta persuadir a vítima a executar o conteúdo de um arquivo .zip anexado a um email. Depois de executado, esta ameaça vai pesquisar o sistema alvo por todo tipo de armazenamento disponível, incluindo: discos rígidos, drives de rede, dispositivos USB de armazenamento, e até armazenamento em nuvem como o Dropbox, Google Drive e Microsoft SkyDrive.

  • Como se proteger

A velha recomendação ainda vale aqui:

  1. I – Sistema Operacional original e completamente atualizado;
  2. Um antivírus atualizado;
  3. E o mais importante, Bom Senso!!!

Ter uma rotina de backup constante também é muito importante, não apenas para recuperação de incidentes como este, mas também para outras situações mais corriqueiras como a perda de informações por falha nos componentes de um sistema computacional. Uma boa rotina de backup deve inclusive permitir mais de um local de armazenamento, em mais de um tipo de mídia, e preferencialmente um deles “online” e outro “off line”.

  • Remediação

A limpeza de um sistema infectado é relativamente simples. Por se tratar de uma ameaça primeiramente detectada em Setembro passado, praticamente todos os antivírus de mercado já são capazes de identificar e remover os componentes executáveis do Cryptolocker. O problema reside nos dados encriptados, que estão inacessíveis e assim permanecerão até que a chave privada seja adquirida, não existe outra maneira. Caso não seja possível restaurar um backup, ou obter versões anteriores dos arquivos encriptados, a melhor opção é realmente dá-los como perdidos. Pagar o “resgate” solicitado não lhe oferece nenhuma garantia que o ofensor irá encaminhar a chave privada que permitirá recuperar as informações. Ainda mais, nada pode garantir que o processo de desencriptação de dados não reinfecte seu sistema, e em novas 72 horas outro resgate seja solicitado.

 

Estamos diante de uma velha ameaça que foi repaginada para tirar proveito de vários novos detalhes: o crescimento do público alvo pela massíva inserção de usuários na vida digital; novos mecanismos mais robustos de criptografia disponíveis de forma ubíqua pela Internet; sistemas financeiros descentralizados, não regulados e virtualmente anônimos; o crescimento da importância e do valor das informações que residem desprotegidas em sistemas pessoais e nas nuvens; a ausência do conhecimento mínimo necessário para permitir que um usuário comum conceda as primeiras camadas mais simples de proteção a seus dados; a completa falta de interesse e respeito pela proteção das próprias informações que o desconhecimento dos riscos delega ao usuário atualmente de forma crescente; entre outros.

 

Referências:
[1] J. Mun, “Trojan.Gpcoder Technical Details | Symantec,” Symantec Risk Level, 2005. [Online]. Available: http://www.symantec.com/security_response/writeup.jsp?docid=2005-052215-5723-99&tabid=2.
[2] M. B. Barcena, “Trojan.Ransomcrypt | Symantec,” Symantec Risk Level, 2009. [Online]. Available: http://www.symantec.com/security_response/writeup.jsp?docid=2009-060912-0056-99.
[3] X. Luo and Q. Liao, “Awareness education as the key to Ransomware prevention,” Inf. Syst. Secur., 2007.
[4] X. Luo and Q. Liao, “Ransomware: A New Cyber Hijacking Threat to,” Handb. Res. Inf. Secur.  …, 2008.
[5] A. Gazet, “Comparative analysis of various ransomware virii,” J. Comput. Virol., 2010.



1 comment Comentario

  1. Glaucio Barreto

    Sampa… Excelente artigo, parabéns!

    Reply

Leave a comment

Your email address will not be published. Required fields are marked *