NSA nega que ferramenta de hacker vazado tenha sido usada para criar Bitcoin Ransomware

A U.S. National Security Agency (NSA) negou que qualquer uma de suas ferramentas de hacking tenha sido usada por cibercriminosos para propagar um ataque aos sistemas governamentais de Baltimore.

O ataque paralisou os serviços municipais por várias semanas, enquanto as autoridades refletem sobre o próximo movimento. De acordo com uma declaração divulgada pelo Representante C.A. Ruppersberger holandês, funcionários da NSA que falaram com ele negaram que qualquer ferramenta desenvolvida pela agência tenha sido usada para sequestrar ou interromper sistemas vitais de computador do governo.

De acordo com a declaração do prefeito Bernard Young, a cidade não quer pagar o resgate exigido pelos perpetradores, que é de 3 bitcoins por sistema infectado. Funcionários do governo admitem que pode levar meses até que todas as plataformas sejam restauradas

Embora a grande maioria dos sistemas da cidade tenham sido desligados após o ataque de malware, os críticos, como as redes 911 e 311, não foram afetados e ainda estão ativados. The Wall Street Journal relata que aproximadamente 10.000 computadores do governo foram infectados e muitos ainda estão bloqueados.

No momento, há atrasos no processamento das vendas de casas porque os sistemas afetados não podem ser usados ​​para revelar detalhes sobre os vendedores de propriedades, como gravames não pagos. Essas informações devem ser divulgadas para as seguradoras, mas atualmente estão inacessíveis. Os sistemas de cobrança de água também foram afetados e, portanto, os clientes não receberão as contas por algum tempo. O atraso provavelmente causará um aumento nas cobranças quando a situação for resolvida.

A seguir está um trecho do declaração oficial do prefeito fornecendo uma visão geral da situação atual.

“Eu não sou capaz de fornecer a vocês um cronograma exato de quando todos os sistemas serão restaurados. Como qualquer grande empresa, temos milhares de sistemas e aplicativos.

Nosso foco é colocar os serviços essenciais novamente online e fazer isso de uma maneira que garanta que a segurança seja uma de nossas principais prioridades ao longo deste processo. Você poderá ver os serviços parciais começando a ser restaurados em questão de semanas, enquanto alguns de nossos sistemas mais complexos podem levar meses no processo de recuperação. ”

Contas do Gmail desativadas pelo Google em Baltimore

Na sequência do ataque, funcionários do governo em Baltimore aparentemente tentaram configurar contas temporárias do Gmail como uma solução alternativa após a desativação de sistemas infectados e de acordo com o Baltimore Sun, muitos deles foram desativados.

Inicialmente não ficou claro por que isso aconteceu, mas Brooks Hocog, um porta-voz do Google, elaborou que a criação em massa de contas do Gmail em uma área geográfica localizada acionou o sistema de segurança da empresa, que desativou a grande maioria delas. Muitos teriam sido restaurados pouco tempo após o comunicado divulgado.

Como a infecção ocorreu

Os hackers foram capazes de infectar milhares de sistemas de computador em um período muito curto de tempo, supostamente utilizando o EternalBlue, uma ferramenta de hacking da NSA que vazou. Em 7 de maio, os funcionários do governo da cidade acordaram para encontrar sistemas de arquivos críticos criptografados por ransomware.

Os cibercriminosos estavam exigindo pagamento em bitcoin. Embora os sistemas tenham ficado offline imediatamente e o FBI chamado para investigar, o sistema de correio de voz da administração da cidade e o banco de dados de multas de estacionamento, entre outros, foram criptografados. A empresa de segurança cibernética Armor compartilhou uma imagem redigida da nota deixada pelo hackers exigindo resgate.


Ele avisou que aumentaria para US $ 10.000 por dia após quatro dias, acrescentando que não haverá mais negociações.

Acredita-se que os cibercriminosos tenham obteve acesso a servidores governamentais através de um sistema de computador vulnerável. Eles foram então capazes de criar um backdoor que permitiu à máquina infectada infectar outras pessoas conectadas à sua rede.

Os contratantes de cibersegurança trabalhando no projeto supostamente descobriram outra ferramenta chamada web shell que poderia ter sido usada em conjunto com o EternalBlue para “passar o hash” em computadores de rede. Acredita-se que isso tenha permitido que o malware se propagasse ainda mais, utilizando credenciais copiadas para contornar os protocolos de rede.

EternalBlue amplamente utilizado por Crypto Hackers

O exploit EternalBlue foi desenvolvido pela NSA, mas vazou online pelos Shadow Brokers em 2017. O código original foi modificado desde então por vários agentes maliciosos para penetrar nos sistemas de computador e instalar malware, criptomoedas mineiros e ransomware.

Foi usado principalmente para realizar o infame ataque de ransomware WannaCry que infectou PCs em todo o mundo em 2017, poucos meses após o vazamento. Funcionava criptografando arquivos em computadores pessoais e exigindo resgate a ser pago em criptografia. Mais de 150.000 computadores foram infectados em mais de 100 países.

A Microsoft foi rápida em lançar um patch projetado para impedir o ataque, mas ainda existem milhões de computadores vulneráveis ​​devido ao uso generalizado de software Windows falsificado, falha na instalação do patch ou as últimas atualizações de segurança da Microsoft. Os investigadores acreditam que uma falha na instalação de atualizações de segurança contra a exploração é o que fez com que o ataque em Baltimore fosse tão bem-sucedido.

EternalBlue preferido por grupos de hackers de mineração de criptografia

O EternalBlue voltou a ser o centro das atenções em janeiro, depois que pesquisadores descobriram seu uso em uma campanha sofisticada de criptojacking que visava principalmente computadores e servidores na China.

A equipe de segurança do Qihoo 360 é considerada a primeira a descobrir a infecção. A campanha aparentemente contou com EternalBlue junto com alguns scripts PowerShell formidáveis ​​para baixar cargas de malware em máquinas infectadas e minar criptomoedas como Monero.

Mais recentemente, a Symantec descobriu uma grande campanha de criptojacking envolvendo o exploit EternalBlue que visava principalmente empresas na China. Ele se baseou em um minerador de criptografia baseado em arquivo. A infecção inicial de máquinas aparentemente foi realizada por meio de e-mails de phishing.

Acredita-se que a recente ascensão do mercado de criptomoedas está alimentando o ressurgimento de ataques de malware de criptojacking. Relatórios da Symantec que as infecções por cryptojacking caíram cerca de 50 por cento em 2018 depois que o mercado de criptografia entrou em um modo de baixa.

O relatório destaca que, embora os ataques de ransomware tenham diminuído e agora caído cerca de 20%, as campanhas voltadas para empresas aumentaram cerca de 12%.

(Crédito da imagem em destaque: Pixabay)

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map