Uma atualização de software pode ter iniciado o ataque de Ransonware na Ucrânia

Jefferson, 28 de junho de 2017,

Finalmente a telemetria da Microsoft parece servir para algo benigno.

Isso parecia ser especulação de várias empresas de segurança, mas a Microsoft confirmou que em pelo menos algumas máquinas a infecção foi iniciada pelo atualizador de um popular software de contabilidade ucraniano. Depois disso o ransonware usou várias técnicas avançadas, incluindo a vulnerabilidade Eternalblue, para se espalhar lateralmente.

A mais preocupante dessas é uma técnica que permite obter na memória as credenciais de qualquer usuário logado na máquina. Eu ainda estou tentando digerir as implicações disso.

Outra característica digna de nota é que o ransonware é um MBR infector. O primeiro que vejo em mais de uma década. O malware infecta o MBR, dá boot na máquina e finge ser o chkdsk enquanto criptografa seus arquivos na sua cara.

Ainda não ficou claro para mim se a máquina estar com Secureboot ativo seria proteção contra isso.

É claro que para fazer tudo isso dessa forma o malware precisa de permissões de administrador, que inicialmente ele obtém porque o atualizador do software de contabilidade possivelmente obtém essas permissões e mais tarde porque Eternalblue (que a essa altura não deveria ser problema) também confere essas permissões automaticamente.

 

28 de junho de 2017 | Tags: | Categorias: Sem categoria

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »