São Paulo, junho de 2018 - Em janeiro deste ano, a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –já havia detectado uma variante do malware KillDisk atingindo diversas instituições financeiras na América Latina.

Um desses ataques estava relacionado a um roubo frustrado no sistema da organização conectado à rede SWIFT (Sociedade de Telecomunicações Financeiras Interbancárias Mundiais).

No último mês de maio, a Trend Micro revelou um wiper (malware que inutiliza o disco rígido) na mesma região. Uma das organizações afetadas era um banco cujos sistemas ficaram inoperantes por vários dias, interrompendo as operações por quase uma semana e limitando os serviços aos clientes. A análise da Trend Micro indica que o ataque foi utilizado somente como uma distração - o objetivo final era acessar os sistemas conectados à rede SWIFT local do banco.

Tudo começou um problema nas máquinas afetadas relacionado com o setor de inicialização (MBR) do disco rígido. Com base na mensagem de erro exibida após os testes feitos, a Trend Micro foi capaz de determinar que esta era outra - possivelmente nova - variante do KillDisk. Este tipo de mensagem é comum em sistemas especificamente afetados por ameaças wiper do tipo MBR e não em outros tipos de malware, tais como ransomware, que algumas pessoas inicialmente acreditavam ser o motivo da paralização. 

Os produtos da Trend Micro detectam esta ameaça como TROJ_KILLMBR.EE e TROJ_KILLDISK.IUE.

A natureza isolada deste malware dificulta determinar se o ataque foi motivado por uma campanha cibercriminosa oportunista ou parte de um ataque coordenado, como os ataques observados em janeiro.

Análise inicial

A Trend Micro conseguiu obter uma amostra que talvez possa ser o malware envolvido nos ataques de maio de 2018. A amostra foi executada e ela quebrou o setor de inicialização do disco rígido, conforme esperado (Figura 1). Uma análise inicial do arquivo revelou que o malware foi criado usando um sistema NSIS (Nullsoft Scriptable Install System), uma aplicação de código aberto utilizada para criar programas de instalação. O criador do malware nomeou-o propositalmente como “MBR Killer”. 

Apesar de a amostra ser protegida pelo VMProtect (um protetor de executáveis utilizado para defesa contra engenharia reversa), ainda assim foi verificada uma rotina que apaga o primeiro setor do disco rígido da máquina, como mostrado na figura abaixo. 

A Trend Micro não encontrou nenhuma outra rotina nova ou importante na amostra analisada. Não há evidência de infraestrutura ou comunicação com C&C (comando & controle), ou rotinas típicas de ransomware codificadas na amostra nem indicações de comportamento relacionado à rede.

Como o malware apaga o disco da máquina afetada

O malware foi projetado para apagar o primeiro setor de todos os discos rígidos físicos que encontra no sistema infectado. A seguir, há um resumo de como o malware desempenha sua rotina wiper do MBR:

1. Ele utiliza a função da API CreateFileA to \\.\PHYSICALDRIVE0 para acessar o disco rígido com permissão de escrita.
2. Então, sobrescreve o primeiro setor do disco (512 bytes) com bytes zerados “0x00”. O primeiro setor é justamente o MBR do disco.
3. Ele tentará executar as rotinas acima (etapas 1-2) em \\.\PHYSICALDRIVE1, \\.\PHYSICALDRIVE2, \\.\PHYSICALDRIVE3, e assim por diante, contanto que haja um disco rígido disponível.
4. Posteriormente, ele forçará o desligamento da máquina através da função da API ExitWindows.

Mitigação e melhores práticas:

Os recursos destrutivos desse malware, que podem deixar a máquina afetada inoperante, enfatizam a importância da defesa completa: para cobrir cada camada da infra-estrutura de TI da organização, de gateways e terminais para redes e servidores. 

Aqui estão algumas das melhores práticas que as organizações podem adotar para se defender contra esse tipo de ameaça:

• Identifique e resolva as lacunas de segurança: Atualize regularmente redes, sistemas e programas / aplicativos para remover vulnerabilidades exploráveis. Crie políticas rígidas de gerenciamento de patches e considere o patch virtual, especialmente para sistemas legados. Faça o backup regularmente dos dados e proteja sua integridade;
• Proteja a infraestrutura de missão crítica: Proteja a infraestrutura usada para armazenar e gerenciar dados pessoais e corporativos. Para instituições financeiras, a SWIFT possui um Programa de Segurança do Cliente que fornece controles obrigatórios e de consultoria para sua infraestrutura SWIFT local. Alguns deles incluem patch virtual, varredura de vulnerabilidades, controle de aplicativos e monitoramento de integridade de aplicativos relacionados ao SWIFT;
• Aplique o princípio do menor privilégio: Restrinja o acesso a dados de missão crítica. A segmentação de rede limita o acesso do usuário ou programa à rede; A categorização organiza os dados por importância para minimizar a exposição adicional a ameaças ou violações. Restringir o acesso e o uso de ferramentas reservadas aos administradores do sistema (por exemplo, PowerShell, ferramentas de linha de comando) para impedir que eles sejam violados. Desabilitar os componentes desatualizados e desnecessários do sistema ou aplicativo;
• Monitore proativamente as instalações on-line: Implemente mecanismos de segurança adicionais para impedir ainda mais os invasores. Firewalls e sistemas de detecção e prevenção de invasões ajudam contra ataques baseados em rede, enquanto o controle de aplicativos e o monitoramento de comportamento impedem a execução de arquivos suspeitos e indesejados ou rotinas maliciosas. A categorização de URL’s também ajuda a impedir o acesso a sites de hospedagem de malware;
• Promover uma cultura de segurança cibernética: Muitas ameaças dependem da engenharia social para ter sucesso. A conscientização dos funcionários sobre os sinais reveladores de e-mails de spam e phishing, por exemplo, ajuda significativamente a impedir ameaças baseadas em e-mail;
• Crie uma estratégia de resposta proativa a incidentes: Complemente medidas defensivas com estratégias de resposta a incidentes que forneçam informações acionáveis sobre ameaças para ajudar as equipes de TI e segurança da informação a procurar, detectar, analisar, correlacionar e responder ativamente às ameaças.

Soluções Trend Micro

A Trend Micro™ XGen™ fornece uma combinação intergeracional de técnicas de defesa contra ameaças para proteção de datacenters, ambientes de nuvem, redes e endpoints. Ele conta com o aprendizado machine learning para proteger os dados e aplicativos do gateway e do terminal e protege as cargas de trabalho físicas, virtuais e na nuvem. 

Com recursos como filtragem de URL / Web, análise comportamental e sandboxing personalizado, o XGen protege contra as ameaças criadas atualmente e que ignoram os controles tradicionais e exploram vulnerabilidades conhecidas, desconhecidas ou não divulgadas. Inteligente, otimizado e conectado, o XGen potencializa as soluções de segurança da Trend Micro: segurança de nuvem híbrida, proteção do usuário e defesa de rede.

 

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e endpoints.

Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.

Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecer uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.

Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário, telecomunicações e petróleo.

Com cerca de 6.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações se mantenham seguras em um mundo conectado. Para mais informações, visite www.trendmicro.com.