Começamos com este post uma série de artigos com o propósito de falar sobre ransomware. Neste primeiro, explicaremos o que é Ryuk e como ele afetou o SEPE; no segundo, realizaremos um PoC (Prova de conceito) no local e, no último, falaremos sobre boas práticas para evitar este tipo de ataques.
O que é um resgate?
É um vírus, um tipo de malware que infecta nossos dispositivos, criptografa nossos arquivos e depois exige um resgate por eles (principalmente, se não inteiramente, em moedas criptográficas). Não só pode permanecer no próprio dispositivo, mas também pode infectar outros dispositivos em rede.
As duas rotas de entrada para este tipo de malware são: a exploração de vulnerabilidades dentro do próprio sistema e o fator humano (de acordo com Zaharia em 2017, 97% de e-mails de phishing continham alguma forma de resgates).
Este tipo de malware não é novo nem atual. Em 1980, já havia alguns resgates, como o PC Cyborg. Mais tarde veio o CryptoLocker. Estes foram seguidos por muitos outros, como TeslaCrypt, WannaCry, Ryuk...
O que é Ryuk e o que aconteceu com o SEPE?
Em 9 de março, o SEPE anunciou no Twitter que seu website e sua sede eletrônica não estavam disponíveis... Foi um ataque cibernético.
O SEPE foi infectado pelo Ryuk (um nome que se refere ao Manga Death Note), um tipo de resgate que gosta de grandes sistemas Microsoft Windows de entidades públicas (não se sabe como penetrou, mas chegou justamente quando foi detectada uma vulnerabilidade do Microsoft Exchange Server chamada ProxyLogon... Tire suas próprias conclusões).
Ryuk também deixou outros "presentes" em toda a Espanha em empresas como Prosegur, Everis ou Cadena Ser, assim como em algumas prefeituras.
Existe uma solução para o ataque de resgate?
As mensagens sobre o novo portal SEPE começaram a circular na web. Aparentemente, as lixeiras de backup do site https://archive.org/ foram feitas nos servidores SEPE (IIS 5.0), o que pode significar que elas estão um pouco carentes de backups de seu próprio sistema.
Se pesquisarmos, encontramos o concurso público SEPE para sistemas computadorizados (13.300.866,61 ?) no qual podemos ver que o prazo para apresentar a oferta é 17/05/2016, o mesmo ano que mostra a faixa de manutenção.
Vários dias após a notícia do ciberataque, descobriu-se que a entidade pública do Serviço Público de Emprego do Estado não possuía as certificações de segurança (ENS - National Security Scheme) exigidas pelo Centro Nacional de Criptologia (CCN).
Você pode consultar todas as entidades públicas que possuem este certificado aqui.
Mais tarde, foi descoberta uma nova vulnerabilidade nos servidores BigIp, que permite a execução remota do código (RCE - ser capaz de executar comandos dentro do servidor). Obviamente, é claro, o website do SEPE foi construído nestes servidores.
Recapitulemos: uma entidade pública, que não tem o certificados de segurança A empresa, que recebeu o contrato público e é responsável pelos sistemas (13.300.866,61 euros), restaura os backups para a segurança da infra-estrutura por vários dias devido a sistemas antigos e vulneráveis e à falta de treinamento de pessoal. Finalmente, a empresa adjudicou o contrato público e responsável pelos sistemas (13.300.866,61 ?), restaura cópias de segurança para o front-end de um site de cópia (tudo isso em um servidor duplamente desatualizado como o IIS 5.0, BigIp?).
