S3 Ep140: Então você acha que conhece ransomware?

S3 Ep140: Então você acha que conhece ransomware?

Carimbo de data / hora: 22 de junho de 2023, 12h48
S3 Ep140: Então você acha que conhece ransomware? Inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.
by Paul Ducklin

OUÇA E APRENDA

Gee Whiz BASIC (provavelmente). Acho que você conhece ransomware? Megaupload, 11 anos depois. ASUS adverte sobre bugs críticos do roteador. Mova isso desordem Parte III.

Nenhum reprodutor de áudio abaixo? Ouvir diretamente no Soundcloud.

Com Doug Aamoth e Paul Ducklin. Música de introdução e final de Edith Mudge.

Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify, Costureiro e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.

LEIA A TRANSCRIÇÃO

DOUG.  Problemas de roteador, Megaupload em megaproblemas e mais desordem do MOVEit.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paulo, como vai?

PATO.  Apenas uma desambiguação para nossos ouvintes do inglês britânico e da Commonwealth, Doug…

DOUG.  "Roteador." [PRONUNCIADO NO ESTILO DO REINO UNIDO COMO 'ROOTER', NÃO NO ESTILO DOS EUA COMO 'ROWTER']

PATO.  Você não quer dizer as ferramentas de carpintaria, eu acho?

DOUG.  Não! [RISOS]

PATO.  Você quer dizer as coisas que permitem que bandidos invadam sua rede se não forem corrigidos a tempo?

DOUG.  Sim!

PATO.  Onde o comportamento do que chamaríamos de 'ROOTER' faz com a sua rede mais parecido com o que um 'ROWTER' faria com a borda da sua mesa? [RISOS]

DOUG.  Exatamente! [RISOS]

Chegaremos a isso em breve.

Mas primeiro, nosso Esta semana na história da tecnologia segmento.

Paul, esta semana, em 18 de junho, em 1979: um grande passo para a computação de 16 bits quando a Microsoft lançou uma versão de sua linguagem de programação BASIC para processadores 8086.

Esta versão era compatível com processadores de 8 bits, tornando o BASIC, que estava disponível para os processadores Z80 e 8080, e já foi encontrado em cerca de 200,000 computadores, uma flecha na aljava da maioria dos programadores, Paul.

PATO.  O que viria a ser o GW-BASIC!

Não sei se isso é verdade, mas continuo lendo que GW-BASIC significa “GEE WHIZZ!” [RISOS]

DOUG.  Ha! [RISADA]

PATO.  Não sei se isso é verdade, mas gosto de pensar que é.

DOUG.  Tudo bem, vamos entrar em nossas histórias.

Antes de chegarmos ao que está nas notícias, temos o prazer, ou melhor, emocionados, de anunciar o primeiro dos três episódios de Acha que conhece ransomware?

Esta é uma série de documentários de 48 minutos de seus amigos da Sophos.

“The Ransomware Documentary” – nova série de vídeos da Sophos começando agora!

O primeiro episódio, chamado Origens do Cibercrime, já está disponível para visualização em https://sophos.com/ransomware.

Episódio 2, que é chamado Caçadores e caçados, estará disponível em 28 de junho de 2023.

Episódio 3, Armas e guerreiros, cairá em 5 de julho de 2023.

Confira em https://sophos.com/ransomware.

Eu vi o primeiro episódio, e é ótimo.

Ele responde a todas as perguntas que você possa ter sobre as origens desse flagelo que continuamos combatendo ano após ano, Paul.

PATO.  E alimenta muito bem o que os ouvintes regulares saberão que é meu ditado favorito (espero não ter transformado isso em um clichê até agora), a saber: Aqueles que não conseguem se lembrar da história estão condenados a repeti-la.

Não seja essa pessoa! [RISOS]

DOUG.  Tudo bem, vamos nos ater ao assunto do crime.

Tempo de prisão para dois dos quatro fundadores do Megaupload.

Violação de direitos autorais em questão aqui, Paul, e cerca de uma década em formação?

A dupla do Megaupload vai finalmente para a prisão, mas Kim Dotcom luta contra…

PATO.  Sim.

Lembra na semana passada quando parafraseei aquela piada sobre: ​​“Ah, você sabe como são os ônibus? Nenhum vem por anos, e então três chegam de uma vez? [RISADA]

Mas tive que apostar em “dois chegam de uma vez”…

…e assim que eu disse isso, o terceiro chegou. [RISADA]

E isso é da Nova Zelândia, ou Aotearoa, como também é conhecido.

O Megaupload era um infame serviço antigo chamado “bloqueador de arquivos”.

Isso não é um “bloqueador de arquivos” como no ransomware que bloqueia seus arquivos.

É um “armário de arquivo” como um armário de academia… o lugar na nuvem onde você carrega arquivos para que possa obtê-los mais tarde.

Esse serviço foi desativado, principalmente porque o FBI nos EUA recebeu uma ordem de remoção e alegou que seu objetivo principal não era tanto ser um mega serviço de *upload*, mas um mega serviço de *download*, o modelo de negócios dos quais foi baseado em encorajar e incentivar a violação de direitos autorais.

O principal fundador deste negócio é um nome bem conhecido: Kim Dotcom.

E esse realmente é o sobrenome dele.

Ele mudou seu nome (acho que originalmente era Kim Schmitz) para Kim Dotcom, criou este serviço e está apenas lutando contra a extradição para os EUA e continua a fazê-lo, embora os tribunais de Aotearoa tenham decidido que não há razão para que ele possa não seja extraditado.

Um dos outros quatro, um sujeito chamado Finn Batato, infelizmente morreu de câncer no ano passado.

Mas dois dos outros indivíduos que foram os principais impulsionadores do serviço Megaupload, Mathias Ortmann e Bram van der Kolk…

…eles lutaram contra a extradição (você pode entender o porquê) para os EUA, onde potencialmente enfrentaram grandes sentenças de prisão.

Mas, eventualmente, eles pareciam ter feito um acordo com os tribunais da NZ [Nova Zelândia/Aotearoa] e com o FBI e o Departamento de Justiça dos EUA.

Em vez disso, eles concordaram em ser processados ​​na Nova Zelândia, declarar-se culpados e ajudar as autoridades americanas em sua investigação em andamento.

E acabaram com sentenças de prisão de 2 anos e 7 meses e 2 anos e 6 meses, respectivamente.

DOUG.  O juiz naquele caso fez algumas observações interessantes, eu senti.

PATO.  Acho que você está certo, Doug.

Notavelmente, não era uma questão de o tribunal dizer: “Aceitamos o fato de que essas enormes megacorporações em todo o mundo perderam bilhões e bilhões de dólares”.

Na verdade, o juiz disse que você deve aceitar essas reivindicações com uma pitada de sal e citou evidências para sugerir que você não pode simplesmente dizer que todo mundo que baixou um vídeo pirata teria comprado o original.

Portanto, você não pode somar as perdas monetárias da maneira que algumas das megacorporações gostam de fazer.

No entanto, ele disse, isso não o torna certo.

E ainda mais importante, ele disse: "Você realmente machucou os pequeninos também, e isso importa tanto quanto."

E ele citou o caso de um desenvolvedor de software independente da Ilha do Sul, na Nova Zelândia, que escreveu ao tribunal para dizer: “Percebi que a pirataria estava prejudicando muito minha renda. Descobri que 10 ou 20 vezes tive que apelar para o Megaupload para que o conteúdo infrator fosse removido; levei muito tempo para fazer isso e nunca fez a menor diferença. E, portanto, não estou dizendo que eles são totalmente responsáveis ​​pelo fato de que eu não poderia mais ganhar a vida com meu negócio, mas estou dizendo que fiz todo esse esforço para fazê-los derrubar as coisas que eles disseram que faria, mas nunca funcionou.”

Na verdade, isso saiu em outro lugar no julgamento… que tem 38 páginas, então é uma leitura bastante longa, mas é muito legível e acho que vale a pena ler.

Notavelmente, o juiz disse aos réus que eles tinham que assumir a responsabilidade pelo fato de terem admitido que não queriam ser muito duros com os infratores de direitos autorais porque “O crescimento é baseado principalmente na infração.”

E ele também observou que eles criaram um sistema de remoção que basicamente, se houvesse vários URLs para baixar o mesmo arquivo…

…eles mantinham uma cópia do arquivo e, se você reclamasse sobre a URL, eles retiravam *aquela URL*.

DOUG.  Ah há!

PATO.  Então você pensaria que eles removeram o arquivo, mas eles o deixariam lá.

E ele descreveu isso da seguinte forma: “Você sabia, e pretendia, que as quedas não teriam efeito material.”

Que é exatamente o que este desenvolvedor de software independente Kiwi afirmou em sua declaração ao tribunal.

E eles certamente devem ter ganhado muito dinheiro com isso.

Se você olhar as fotos do controverso ataque a Kim Dotcom em 2012…

…ele tinha uma propriedade enorme e todos esses carros em flash com placas estranhas [etiquetas de veículos] como GOD e GUILTY, como se estivesse antecipando algo. [RISOS]

A remoção do Megaupload faz manchetes e ondas enquanto o Sr. Dotcom pede fiança

Então, Kim Dotcom ainda está lutando contra sua extradição, mas esses outros dois decidiram que querem acabar com tudo.

Então, eles se declararam culpados e, como alguns de nossos comentaristas apontaram no Naked Security, “Puxa, pelo que parece que eles fizeram quando você leu o julgamento em detalhes, parece que a sentença deles foi leve”.

Mas a forma como foi calculado é que o juiz concluiu que achava que as sentenças máximas que eles deveriam receber de acordo com a lei de Aotearoa deveriam ser de cerca de 10 anos.

E então ele imaginou, com base no fato de que eles estavam se declarando culpados, que iriam cooperar, que iriam devolver $ 10 milhões e assim por diante, que deveriam obter 75% de desconto.

E meu entendimento é que isso significa que eles vão deixar de lado esse medo de serem extraditados para os EUA, porque meu entendimento é que o Departamento de Justiça disse: “OK, vamos deixar a condenação e a sentença acontecer em outro país .”

Mais de dez anos depois, e ainda não acabou!

É melhor você dizer isso, Doug...

DOUG.  Yesss!

Estaremos atentos a isso.

Obrigado; vamos continuar.

Se você tem um roteador ASUS, você pode ter alguns patches para fazer, embora um cronograma bastante obscuro aqui para algumas vulnerabilidades bastante perigosas, Paul.

A ASUS adverte os clientes do roteador: corrija agora ou bloqueie todas as solicitações de entrada

PATO.  Sim, não está muito claro quando esses patches foram lançados para os vários modelos de roteador listados no comunicado.

Alguns de nossos leitores estão dizendo: “Bem, fui dar uma olhada; Eu tenho um desses roteadores e está na lista, mas não há patches *agora*. Mas recebi alguns patches há pouco tempo que pareciam corrigir esses problemas… então por que o aviso *agora*?”

E a resposta é: “Não sabemos”.

Exceto, talvez, que a ASUS tenha descoberto que os bandidos estão atrás deles?

Mas não é apenas: "Ei, recomendamos que você faça um patch".

Eles estão dizendo que você precisa corrigir e, se não quiser ou não puder fazer isso, nós “recomendo enfaticamente (o que basicamente significa 'é melhor') desabilitar os serviços acessíveis do lado da WAN do seu roteador para evitar possíveis invasões indesejadas.”

E esse não é apenas o seu aviso típico: “Ah, certifique-se de que sua interface de administração não esteja visível na Internet”.

Eles estão notando que o que eles querem dizer com bloquear solicitações de entrada é que você precisa desligar basicamente *tudo* que envolve o roteador aceitando o externo iniciando alguma conexão de rede…

…incluindo administração remota, encaminhamento de porta (azar se você usar isso para jogos), DNS dinâmico, quaisquer servidores VPN e o que eles chamam de acionamento de porta, que eu acho que é batida de porta, onde você espera por uma conexão específica e somente quando você veja essa conexão, então acione um serviço localmente.

Portanto, não são apenas as solicitações da Web que são perigosas aqui, ou pode haver algum bug que permita que alguém faça login com um nome de usuário secreto.

É toda uma gama de diferentes tipos de tráfego de rede que, se puderem alcançar seu roteador de fora, podem controlar seu roteador, ao que parece.

Portanto, parece terrivelmente urgente!

DOUG.  As duas principais vulnerabilidades aqui…

…existe um Banco de Dados Nacional de Vulnerabilidade, o NVD, que pontua vulnerabilidades em uma escala de um a dez, e ambos são 9.8/10.

E então há um monte de outros que são 7.5, 8.1, 8.8… um monte de coisas que são muito perigosas aqui. Paulo.

PATO.  Sim.

“9.8 CRÍTICO”, ​​tudo em letras maiúsculas, é o tipo de coisa que significa [Sussurrando], “Se os bandidos descobrirem isso, eles vão acabar com tudo como uma erupção cutânea”.

E o que é talvez o mais estranho sobre esses dois vulns de pontuação ruim de 9.8/10 é que um deles é CVE-2022-26376, e isso é um bug no HTTP sem escape, que é basicamente quando você tem um URL com caracteres engraçados em, como, espaços…

…você não pode legalmente ter um espaço na URL; você tem que colocar %20 em vez disso, seu código hexadecimal.

Isso é fundamental para processar qualquer tipo de URL no roteador.

E esse foi um bug que foi revelado, como podem ver pelo número, em 2022!

E há outra no chamado protocolo Netatalk (que fornece suporte para computadores Apple) que era a vulnerabilidade, Doug, CVE-2018-1160.

DOUG.  Isso foi há muito tempo atrás!

PATO.  Era!

Na verdade, foi corrigido em uma versão do Netatalk que eu acho que era a versão 3.1.12, lançada em 20 de dezembro *2018*.

E eles estão apenas alertando sobre “você precisa obter a nova versão do Netatalk” agora, porque isso também, ao que parece, pode ser explorado por meio de um pacote não autorizado.

Portanto, você não precisa de um Mac; você não precisa de software da Apple.

Você só precisa de algo que converse com o Netatalk de maneira duvidosa e possa fornecer acesso arbitrário à gravação na memória.

E com uma pontuação de bug de 9.8/10, você deve assumir que isso significa “estranho remoto cutuca um ou dois pacotes de rede, assume o controle de seu roteador completamente com acesso de nível raiz, horror de execução remota de código!”

Então, por que demoraram tanto para avisar as pessoas de que precisavam consertar esse bug de cinco anos…

…e por que eles realmente não corrigiram o bug de cinco anos atrás não é explicado.

DOUG.  OK, então há uma lista de roteadores que você deve verificar e, se não puder corrigir, deve fazer tudo isso “bloquear todas as coisas de entrada”.

Mas acho que nosso conselho seria patch.

E meu conselho favorito: Se você é um programador, limpe suas entradas, por favor!

PATO.  Sim, Little Bobby Tables apareceu novamente, Doug.

Porque um dos outros bugs que não estava no nível 9.8 (estava no nível 7/10 ou 8/10) era o CVE-2023-28702.

É basicamente o bug do tipo MOVEit novamente: Caracteres especiais não filtrados na entrada de URL da Web podem causar injeção de comando.

Isso soa como um pincel bem largo para os cibercriminosos pintarem.

E teve o CVE-2023-31195 que me chamou a atenção, disfarçado de Sequestro de sessão.

Os programadores estavam definindo o que são essencialmente cookies de token de autenticação… aquelas strings mágicas que, se o navegador puder alimentá-las em solicitações futuras, provam ao servidor que no início da sessão o usuário fez login, tinha o nome de usuário correto, a senha correta , o código 2FA correto, seja qual for.

E agora eles estão trazendo esse “cartão de acesso” mágico.

Portanto, você deve marcar esses cookies ao defini-los, para que nunca sejam transmitidos em solicitações HTTP não criptografadas.

Dessa forma, fica muito mais difícil para um bandido sequestrá-los… e eles se esqueceram de fazer isso!

Então, isso é outra coisa para programadores: Vá e revise como você define cookies realmente significativos, aqueles que contêm informações privadas ou informações de autenticação, e certifique-se de não deixá-los abertos para exposição fácil e inadvertida.

DOUG.  Estou anotando isso (contra meu melhor julgamento, mas esta é a segunda de duas histórias até agora) como uma que ficaremos de olho.

PATO.  Acho que você está certo, Doug, porque não sei bem por quê, visto que para alguns dos roteadores esses patches já haviam aparecido (embora mais tarde do que você gostaria)… por que *agora*?

E acho que essa parte da história ainda pode ter que emergir.

DOUG.  Acontece que absolutamente não podemos *não* ficar de olho nessa história do MOVEit.

Então, o que temos esta semana, Paul?

MOVEit mayhem 3: “Desative o tráfego HTTP e HTTPS imediatamente”

PATO.  Bem, infelizmente para a Progress Software, o terceiro ônibus veio imediatamente, por assim dizer. [RISADA]

Então, só para recapitular, o primeiro foi CVE-2023-34362, que foi quando a Progress Software disse: “Ah, não! Há um dia zero – nós genuinamente não sabíamos disso. É uma injeção de SQL, um problema de injeção de comando. Aqui está o remendo. Mas foi um dia zero e descobrimos isso porque criminosos de ransomware, criminosos de extorsão, estavam explorando isso ativamente. Aqui estão alguns indicadores de comprometimento [IoCs].”

Então eles fizeram tudo certo, o mais rápido que puderam, assim que souberam que havia um problema.

Então eles revisaram seu próprio código, imaginando: “Quer saber, se os programadores cometeram esse erro em um lugar, talvez tenham cometido alguns erros semelhantes em outras partes do código”.

E isso levou ao CVE-2023-35036, onde eles remendaram proativamente os buracos que eram como o original, mas até onde eles sabiam, eles os encontraram primeiro.

E, eis que havia uma terceira vulnerabilidade.

Este é o CVE-2023-35708, onde parece que a pessoa que o encontrou, certamente sabendo muito bem que a Progress Software estava totalmente aberta para divulgação responsável e reação imediata…

… decidiu ir a público de qualquer maneira.

Portanto, não sei se você chama isso de “'divulgação total” (acho que esse é o nome oficial para isso), “divulgação irresponsável” (já ouvi isso ser referido assim por outras pessoas na Sophos) ou “abandonar 0-day for fun”, que é como eu penso nisso.

Então foi uma pena.

E então a Progress Software disse: “Olha, alguém abandonou este dia 0; não sabíamos disso; estamos trabalhando no patch. Neste pequeno período provisório, apenas desligue sua interface web (sabemos que é um aborrecimento) e deixe-nos terminar de testar o patch.”

E em cerca de um dia eles disseram: “Certo, aqui está o adesivo, agora aplique. Então, se quiser, você pode reativar sua interface da web.”

Então eu acho que, apesar de tudo, embora seja uma má aparência para a Progress Software por ter os bugs em primeiro lugar…

…se isso acontecer com você, seguir o tipo de resposta deles é, na minha opinião, uma maneira muito decente de fazer isso!

DOUG.  Sim, temos elogios ao Progress Software, incluindo nosso comentário desta semana sobre esta história.

Adão comenta:

Parece difícil ir para o MOVEit ultimamente, mas eu os aplaudo por seu trabalho rápido, proativo e aparentemente honesto.

Eles poderiam, teoricamente, ter tentado manter tudo isso em segredo, mas, em vez disso, foram bastante diretos sobre o problema e o que precisa ser feito a respeito.

No mínimo, isso os faz parecer mais confiáveis ​​aos meus olhos…

…e acho que esse é um sentimento compartilhado com outras pessoas também, Paul.

PATO.  É de fato.

Também ouvimos a mesma coisa em nossos canais de mídia social: embora seja lamentável que eles tenham o bug e todos desejem que não, eles ainda estão inclinados a confiar na empresa.

Na verdade, eles podem estar inclinados a confiar mais na empresa do que antes, porque acham que mantêm a cabeça fria em uma crise.

DOUG.  Muito bom.

Tudo bem, obrigado, Adam, por enviar isso.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @nakedsecurity.

Esse é o nosso show de hoje; muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando você até a próxima…

AMBAS.  Fique seguro!

[MODEM MUSICAL]

Carimbo de hora:

Mais de Segurança nua