Téchne Digitus InfoSec Artigos

<índice "[ Hacking ]-[ Redes de Comunicação ]-[ DeepWeb ]-[ Anonimato ]-[ Criptomoedas ]-[ Programação ]-[ InfoSec em Geral ]-[ Off-Topic but Important ]-[ Redes Sociais ]" />

Mostrando postagens com marcador malwares. Mostrar todas as postagens
Mostrando postagens com marcador malwares. Mostrar todas as postagens
Logo Téchne Digitus InfoSec

ALERTA DE SCAM - LinkedIn

ALERTA: Scam que utiliza dados vazados do LinkedIn tenta convencer a pessoa a fazer um depósito em uma carteira de Bitcoin.

Quando este ataque de scam foi disparado

Em 09 de abril de 2020.

Como é o e-mail do Phishing Scam em Questão?



Descritivo:

Campo "Assunto" do e-mail, a conta de e-mail seguido da senha utilizada para acessar o LinkedIn na época do vazamento de dados do LinkedIn ainda em 2016.
No "Corpo" do e-mail, uma ameaça dizendo que a pessoa foi vítima de um malware que roubou essas informações e muitas outras. E por fim, pede o depósito em Bitcoins em uma carteira.


Imagem:

Linkedin Scam TechneDigitus

Note que no meu caso (veja imagem acima) o e-mail foi enviado para uma conta de Hotmail. Eu mesmo utilizava Hotmail antigamente. Hoje, os e-mails daquela conta são redirecionados para uma conta Hiper-Segura no ProtonMail.

Como o hacker obteve esses dados?

Através de um vazamento de dados no LinkedIn ocorrido em 2016.

Referência:
Aviso de violação de dados: maio de 2016. Link: < Informação sobre o Vazamento >. Acessado em 10/04/2020.

Recomendações Básicas


1ª Recomendação) Não responda o e-mail de forma alguma.

2ª Recomendação) Troque a senha do LinkedIn, ative a autenticação de dois fatores e use o Aplicativo Authy para gerenciar os tokens.

Referências:
- Authy | Two-factor Authentication (2FA) App & Guides. Link: < Authy Link >. Acessado em 10/04/2020.
Alteração de senha | LinkedIn Help. Link: < Altere sua senha no Linkedin >. Acessado em 10/04/2020.
Ativação e desativação da verificação em duas etapas | LinkedIn Help. Link: < Ative Autenticação de 2 Fatores no Linkedin >. Acessado em 10/04/2020.

Recomendação Hardcore:


1º Passo) Verifique se o seu e-mail está presente em algum vazamento de informações conhecido através do seguinte endereço: < https://haveibeenpwned.com/ >.

2º Passo) Se ele foi vazado em qualquer uma dessas ocasiões, recomendo que deixem de usar essa conta de e-mail. Isso porque essa conta de e-mail será um alvo eterno de ataques como esse, spams entre outros…
Se possível, crie um e-mail em um serviço de e-mails efetivamente seguro e reconhecido pela comunidade de especialistas de segurança da informação como o ProtonMail.

Referências:
Have I Been Pwned. Link: < Verificação >. Acessado em 10/04/2020.
Secure email: ProtonMail is free encrypted email. Link: < ProtonMail Link >. Acessado em 10/04/2020.


Logo Téchne Digitus InfoSec

WannaCry - O que é, Riscos, Proteção, Remendos, Testes, Informações e Notícias

"Téchne Digitus - Because information wants to be free

e não sequestrada..."


WannaCry - O que realmente você precisa saber?

WannaCry TécheneDigitus InfoSec
O que é o WannaCry?

O WannaCry é um ramsonware, um malware que criptografa seus arquivos e pede um pagamento resgate para descriptografá-los.

O WannaCry 2.0 é uma variação do WannaCry que ganhou um novo vetor de contaminação via worm desenvolvido com um exploit criado pela NSA (National Security Agency) dos EUA e, que foram roubados e vazados pelo grupo TheShadownBrokers.

Quem está em risco?

Sistemas que utiliza a maioria das versões do Microsoft Windows.

Como se proteger?

- Mantenha o Microsoft Windows Atualizado: Irá sanar a vulnerabilidade que permite o worm se proliferar via rede.

- Use um anti-vírus atualizado: Irá impedir a execução do malware

Como descriptografar os arquivos sequestrados?

Foi criado o WannaKey, que funciona para descriptografar arquivos na própria máquina infectada, antes de ser reiniciada. O utilitário foi 100% validado em casos com Windows XP e existem grandes chances de funcionar em outras versões do Windows.

Obtenha o utilitário e confira todas as informações sobre ele em: https://github.com/aguinet/wannakey

Remendos Emergenciais

Existem dois remendos (entendo por remendo solução paleativas rápidas) disponíveis quando não se pode instalar as atualizações ou manter um anti-vírus atualizado.

- Desabilitar o serviço SMB do Windows (impede o worm de contaminação via rede):

Disable SMB Service - Téchne Digitus

- Executar o NoMoreCry utilitário criado por CCN-CERT
 (funciona como uma vacina para impedir o ataque local do ransomware)


Executar o NoMoreCry (em exe ou em bat - ou os dois), manualmente como admin ou enforçado pelo ActiveDirectory. Todas as informações necessárias estão em: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND?path=%2F

Deve ser executado toda vez que o Windows for iniciado.

Quero testar o WannaCry, como faço?


Em um ambiente de testes isolado (se não souber criá-lo, não o faça), baixe amostras do WannaCry e teste.

Primeiro teste a infecção para conhecer o comportamento do malware.
Depois teste um ambiente com as devidas proteções antes de executar o malware.

Você encontra links para baixar amostras do ramsonware em: https://gist.github.com/pcostesi/87a04a3bbbdbc4aeb8b787f45eb21197#cc-centers

Quero testar remotamente meus servidores e estações se estão infectadas pelo backdoor "DoublePulsar" criada pela NSA e vazada pelo grupo TheShadowBrokers, como faço?

Utilize os scripts "doublepulsar-detection-script" em Python, disponíveis em https://github.com/countercept/doublepulsar-detection-script

Quero testar remotamente se meus servidores e estações estão vulneráveis, como faço?

Fotos da Contaminação Global

WannaCry01 - TéchneDigitus

WannaCry02 - TéchneDigitus

WannaCry03 - TéchneDigitus
WannaCry04 - TéchneDigitus

WannaCry05 - TéchneDigitus

WannaCry06 - TéchneDigitus