Baltmore paralisada pelo ransomware Robbin Hood

Leia o que se sabe até agora sobre o Robbin Hood

Baltmore paralisada pelo ransomware Robbin Hood

No dia 7 de maio, invasores apreenderam partes dos sistemas de computadores que administram o governo de Baltimore.   Os sistemas de computadores do governo da cidade foram infectados com um agressivo ransomware chamado RobbinHood, que criptografava os dados do disco rígido para impedir o acesso.

O ataque afetou hospitais, fábricas de vacinas, aeroportos, caixas eletrônicos, correio de voz, e-mail, um banco de dados de multas, um sistema usado para pagar contas de água, impostos e notificações de veículos.

Os sistemas de faturamento de água da cidade ficaram off-line para que os moradores não tenham que enfrentar contas de água maiores do que o normal, e as multas por estacionamento ou por excesso de velocidade só podem ser pagas usando bilhetes em vez de métodos eletrônicos.

A cidade imediatamente notificou o FBI e desligou os sistemas para evitar que o ransomware se espalhasse.  Serviços essenciais como polícia, bombeiros e paramédicos continuaram operacionais.

A cidade ficou paralisada.

Uma mensagem de resgate deixada em um dos computadores afirmou que a cidade poderia desbloquear os arquivos apreendidos por um preço: 3 Bitcoins (cerca de US$ 24.000,00) por sistema ou 13 Bitcoins (cerca de US$ 102.000,00) para descriptografar todos (o preço do Bitcoi varia muito, então faça a sua conta de câmbio hoje).

A mensagem também dizia que o preço subirá dentro de 4 dias, e depois de 10 dias ameaçaram que a cidade não conseguiria mais recuperar seus dados.

A estimativa atual é de que a cidade teve US$ 18 milhões em danos que vieram como consequência do ataque, sendo US$ 8 milhões perdidos enquanto a cidade não podia processar pagamentos. 

O que se sabe até agora do RobbinHood.

RobbinHood não é novo.  Trata-se de uma variante de ransomware já utilizada em outros ataques.

O criador ou criador do RobbinHood provavelmente escaneou um grande número de sistemas on-line da cidade para explorar vulnerabilidades, como falhas nos protocolos usados ​​para conceder acesso remoto a computadores.

Engenharia reversa de uma amostra de RobbinHood, mostrou que que o malware parece ter como alvo apenas arquivos em um único sistema e não se espalha através de compartilhamentos de rede. 

Acredita-se que ele seja espalhado diretamente para as máquinas individuais via PsExec ou aplicações de acesso remoto existente a partir de um controlador de domínio.  O ransomware em si não tem nenhum recurso próprio de expansão de rede e deve ser implantado em cada máquina individualmente, usando as brechas disponíveis pela instalação do PsExec ou outras aplicações de controle remoto com características de acesso local.

Isso significaria que o atacante precisaria já ter acesso de nível administrativo a um sistema na rede, devido à maneira como o ransomware interage com o diretório C:\Windows compartilhado para se expalhar.

Utilitários como o Telnet e programas de controle remoto, permitem que você execute programas em sistemas remotos, mas pode ser difícil inserí-lo e exige a instalação do software cliente nos sistemas remotos que você deseja acessar. O PsExec, por exemplo, é uma substituição de telnet leve que permite executar processos em outros sistemas, com interatividade total para aplicativos de console, sem precisar instalar manualmente o software do cliente. 

O uso mais técnico do PsExec inclui o lançamento de prompts de comandos interativos em sistemas remotos e ferramentas de habilitação remota, como o ipconfig, que de outra forma não teriam a capacidade de mostrar informações sobre sistemas remotos para o ransomware.

Alguns scanners antivírus fazem falsos positivos do PsExec, informando que uma ou mais das ferramentas estão infectadas com um vírus "admin remoto". PsExec não contém vírus, mas ele é usado por vírus, e é por isso que sua presença aciona notificações de vírus.

Além de exigir execução em cada máquina segmentada individualmente, RobbinHood também exige que uma chave pública RSA esteja presente em um dos computadores acessados, para iniciar a criptografia dos arquivos.   Ele não provê uma chave criptográfica nativamente.  Isso significa que o invasor provavelmente implanta RobinHood em várias etapas, indo desde obter acesso à rede em questão, mover-se lateralmente para obter privilégios administrativos para um controlador de domínio via PsExec, encontrar, implantar e salvar a chave RSA pública e aplicar o ransomware em cada máquina, criptografando os arquivos.

RobbinHood é ainda bastante precavido. Antes de iniciar a criptografia ele desliga todas as conexões para diretórios de rede compartilhada com um comando net use * /DELETE /Y e executa 181 comandos de encerramento de serviço do Windows, incluindo a desativação de várias ferramentas de proteção contra malware, agentes de backup e email, serviços de banco de dados e serviços administrativos do Internet Information Server (IIS). 

Interessantemente essa sequência de comandos começa com uma tentativa de encerrar o agente antivírus da Kaspersky.  A ação é um importante despertador de alerta para os administradores de redes Windows, pois cria muitas entradas nos logs de eventos das máquinas, como consequência das tentativas de desligamento do serviço instalado.

Prejuízo evitável.

Obviamente a utilização de melhores práticas poderia ter evitado o HobbinHood. 

Infelizmente, em organizações públicas centralizadas e vastas, como prefeituras e orgãos governamentais, nem sempre tem-se a documentação e conhecimento da estrutura de toda a rede.

A profusão de administradores e delegação de funções é quase incontrolável.  A cada dia alguém precisa ser promovido "temporariamente" na rede para solucionar alguma questão.  O acesso acaba permanecendo.

Além disso, é nítida a não utilização de antivírus em toda a rede e a quase inexistência de backup.

E aqui vão duas sugestões que trabalhamos, para você conhecer melhor e precaver-se em caso de perder toda a sua empresa:

BackupNuvem, backup automático para redes Windows: www.backupnuvem.com.

FTPCloud, backup em FTP simples: www.ftpcloud.com.br.

Proteja-se.