Malware foi projetado para apagar o primeiro setor de todos os discos rígidos físicos que encontra no sistema infectado; banco afetado ficou com sistemas inoperantes por vários dias, interrompendo operações e serviços aos clientes por quase uma semana.

Em janeiro deste ano, já havia sido detectado uma variante do malware KillDisk atingindo diversas instituições financeiras na América Latina. Um desses ataques estava relacionado a um roubo frustrado no sistema da organização conectado à rede SWIFT (Sociedade de Telecomunicações Financeiras Interbancárias Mundiais).

No último mês de maio, a Trend Micro revelou um wiper (malware que inutiliza o disco rígido) na mesma região. Uma das organizações afetadas era um banco cujos sistemas ficaram inoperantes por vários dias, interrompendo as operações por quase uma semana e limitando os serviços aos clientes. A análise indica que o ataque foi utilizado somente como uma distração – o objetivo final era acessar os sistemas conectados à rede SWIFT local do banco.

Tudo começou um problema nas máquinas afetadas relacionado com o setor de inicialização (MBR) do disco rígido. Com base na mensagem de erro exibida após os testes feitos, a empresa foi capaz de determinar que esta era outra – possivelmente nova – variante do KillDisk. Este tipo de mensagem é comum em sistemas especificamente afetados por ameaças wiper do tipo MBR e não em outros tipos de malware, tais como ransomware, que algumas pessoas inicialmente acreditavam ser o motivo da paralização.

A natureza isolada deste malware dificulta determinar se o ataque foi motivado por uma campanha cibercriminosa oportunista ou parte de um ataque coordenado, como os ataques observados em janeiro.

Análise inicial

A equipe de especialistas conseguiu obter uma amostra que talvez possa ser o malware envolvido nos ataques de maio de 2018. A amostra foi executada e ela quebrou o setor de inicialização do disco rígido, conforme esperado. Uma análise inicial do arquivo revelou que o malware foi criado usando um sistema NSIS (Nullsoft Scriptable Install System), uma aplicação de código aberto utilizada para criar programas de instalação. O criador do malware nomeou-o propositalmente como “MBR Killer”.

Apesar de a amostra ser protegida pelo VMProtect (um protetor de executáveis utilizado para defesa contra engenharia reversa), ainda assim foi verificada uma rotina que apaga o primeiro setor do disco rígido da máquina.

Não foi encontrada nenhuma outra rotina nova ou importante na amostra analisada. Não há evidência de infraestrutura ou comunicação com C&C (Comando & Controle), ou rotinas típicas de ransomware codificadas na amostra nem indicações de comportamento relacionado à rede.

Como o malware apaga o disco da máquina afetada

O malware foi projetado para apagar o primeiro setor de todos os discos rígidos físicos que encontra no sistema infectado. A seguir, há um resumo de como o malware desempenha sua rotina wiper do MBR:

– Ele utiliza a função da API CreateFileA to \\.\PHYSICALDRIVE0 para acessar o disco rígido com permissão de escrita.

– Então, sobrescreve o primeiro setor do disco (512 bytes) com bytes zerados “0x00”. O primeiro setor é justamente o MBR do disco.

– Ele tentará executar as rotinas acima (etapas 1-2) em \\.\PHYSICALDRIVE1, \\.\PHYSICALDRIVE2, \\.\PHYSICALDRIVE3, e assim por diante, contanto que haja um disco rígido disponível.

– Posteriormente, ele forçará o desligamento da máquina através da função da API ExitWindows.

Mitigação e melhores práticas

Os recursos destrutivos desse malware, que podem deixar a máquina afetada inoperante, enfatizam a importância da defesa completa: para cobrir cada camada da infraestrutura de TI da organização, de gateways e terminais para redes e servidores.

Aqui estão algumas das melhores práticas que as organizações podem adotar para se defender contra esse tipo de ameaça:

– Identifique e resolva as lacunas de segurança: Atualize regularmente redes, sistemas e programas / aplicativos para remover vulnerabilidades exploráveis. Crie políticas rígidas de gerenciamento de patches e considere o patch virtual, especialmente para sistemas legados. Faça o backup regularmente dos dados e proteja sua integridade;

– Proteja a infraestrutura de missão crítica: Proteja a infraestrutura usada para armazenar e gerenciar dados pessoais e corporativos. Para instituições financeiras, a SWIFT possui um Programa de Segurança do Cliente que fornece controles obrigatórios e de consultoria para sua infraestrutura SWIFT local. Alguns deles incluem patch virtual, varredura de vulnerabilidades, controle de aplicativos e monitoramento de integridade de aplicativos relacionados ao SWIFT;

– Aplique o princípio do menor privilégio: Restrinja o acesso a dados de missão crítica. A segmentação de rede limita o acesso do usuário ou programa à rede; A categorização organiza os dados por importância para minimizar a exposição adicional a ameaças ou violações. Restringir o acesso e o uso de ferramentas reservadas aos administradores do sistema (por exemplo, PowerShell, ferramentas de linha de comando) para impedir que eles sejam violados. Desabilitar os componentes desatualizados e desnecessários do sistema ou aplicativo;

– Monitore proativamente as instalações on-line: Implemente mecanismos de segurança adicionais para impedir ainda mais os invasores. Firewalls e sistemas de detecção e prevenção de invasões ajudam contra ataques baseados em rede, enquanto o controle de aplicativos e o monitoramento de comportamento impedem a execução de arquivos suspeitos e indesejados ou rotinas maliciosas. A categorização de URL’s também ajuda a impedir o acesso a sites de hospedagem de malware;

– Promover uma cultura de segurança cibernética: Muitas ameaças dependem da engenharia social para ter sucesso. A conscientização dos funcionários sobre os sinais reveladores de e-mails de spam e phishing, por exemplo, ajuda significativamente a impedir ameaças baseadas em e-mail;

– Crie uma estratégia de resposta proativa a incidentes: Complemente medidas defensivas com estratégias de resposta a incidentes que forneçam informações acionáveis sobre ameaças para ajudar as equipes de TI e segurança da informação a procurar, detectar, analisar, correlacionar e responder ativamente às ameaças.

Fonte: Security Report