Trend Micro analisa ransomware para Linux que atacou empresa sul-coreana

Hackers exigiram resgate de U$S 1 milhão depois que mais de 3 mil sites foram infectados

Neste mês, a empresa sul-coreana de web hosting NAYANA, foi atacada pelo ransomware Erebus. Detectado pela Trend Micro como RANSOM_ELFEREBUS.A, ele conseguiu infectar 153 servidores Linux e mais de 3.400 sites de empresas hospedadas pela NAYANA.

Em nota divulgada no site da NAYANA, a empresa informou que os hackers exigiram um resgate no valor de 550 Bitcoins (BTC), ou US$ 1,62 milhão, para descriptografar os arquivos afetados de todos os seus servidores. 

A empresa negociou um pagamento de 397,6 BTC (aproximadamente US$ 1,01 milhão) a ser pago em parcelas. Em declaração postada no site da NAYANA, em 17 de junho, o segundo de três pagamentos já havia sido efetuado. 

A partir daí, a empresa iniciou o processo de recuperação dos servidores em lotes e, até o momento, o primeiro e o segundo lotes de servidores foram recuperados com sucesso.

Apesar de ser incomparável em termos de valor de resgate, o fato ainda é uma reminiscência do que aconteceu com o Kansas Hospital, que não conseguiu acesso total aos arquivos criptografados mesmo após o pagamento, e ao invés disso sofreu uma segunda extorsão.

O Erebus foi visto pela primeira vez em setembro de 2016 através dos malvertisements (propagandas maliciosas) e reapareceu em fevereiro de 2017 usando um método que consegue evitar o Controle de Conta de Usuário do Windows. 

Possível Vetor de Chegada

De acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter vulnerabilidades possivelmente potencializadas ou um explorador Linux local. 

Com base na inteligência open-source, o site da NAYANA é executado em um Linux kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY COW, que podem proporcionar aos hackers um acesso irrestrito (acesso root) à sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema pode ter sido exposto.

Além disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para exploração maliciosa do Apache Struts. 

A versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99) que indica que um explorador local pode ter sido usado no ataque.

Vale destacar que este ransomware é limitado em termos de cobertura, e está, na verdade, altamente concentrado na Coreia do Sul. Esse fato pode indicar que este ataque ransomware é direcionado.  

Por outro lado, o VirusTotal mostrou que diversas amostras são originárias da Ucrânia e Romênia. Estes envios podem indicar também que se tratavam de outros pesquisadores de segurança.

Quais são os arquivos mais visados

Documentos da empresa, bases de dados e arquivos multimídia são os tipos de arquivos mais comuns alvejados pelo ransomware. Esta versão do Erebus, por exemplo, criptografa 433 tipos de arquivos. 

No entanto, o ransomware parece estar codificado principalmente para alvejar e criptografar os dados armazenados nos servidores de Internet.

Adoção das melhores práticas

Apesar de sua participação no mercado, os sistemas operacionais Unix e similares ao Unix, tais como o Linux, são lucrativos para os cibercriminosos, uma vez que o ransomware continua sendo diversificado e cada vez mais desenvolvido no cenário de ameaças. 

O motivo? Estes sistemas são uma parte universal das infraestruturas que atendem inúmeras empresas, além de serem usados por estações de trabalho e servidores, frameworks de desenvolvimento de aplicativos e da web, bases de dados, dispositivos móveis, entre outros.

Como já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a capacidade de afetar servidores e partes da rede pode potencialmente aumentar esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o necessário para infectar sistemas e servidores conectados.

Esse é mais um motivo pelo qual os administradores de sistemas/TI devem ter uma abordagem de segurança defense-in-depth (defesa em profundidade). As melhores práticas para atenuar o ransomware incluem:

•        Fazer o backup de arquivos críticos;

•        Desabilitar repositórios não verificados ou de terceiros;

•        Garantir que servidores e endpoints estejam atualizados (ou implantar o virtual patching);

•        Monitoramento regular da rede

Alguns dos mecanismos de segurança que podem ser considerados são:

•        Filtragem de IP, assim como sistemas de detecção e prevenção de invasões;

•        Extensões de segurança no Linux que gerenciam e limitam o acesso aos arquivos ou recursos da rede/sistema;

•        Segmentação da rede e categorização de dados para restringir e mitigar infecções e outros danos aos dados.

Em tempo: A Trend Micro irá atualizar este post assim que novas informações da análise relativa ao ransomware do Linux estiverem disponíveis.

Trend Micro Incorporated

 www.trendmicro.com.

Corromper e delatar: o melhor negócio

Há crimes que se pode praticar só: matar, roubar, furtar etc. Não há como delatar outros e sair sorrindo. Ainda, devolver apenas parte de coisa, da "res furtiva", ficando com o lucro.

Já no crime de corrupção, há dois polos do ato criminoso: ativo, o corruptor, e passivo, o corrompido.

Corrompidos são agentes e servidores públicos, políticos em geral, segundo as últimas e tristes notícias que consomem os noticiários  de nosso País. Corruptor pode ser qualquer um, até mesmo mediante um bombom. Mas as corrupções mínimas não estremecem o País, embora sejam eticamente reprováveis. O que fez de nossa sociedade uma baixada pantanosa e desesperadora foi a corrupção alta, de grandes valores, milionários e bilionários, que extraíram, como o faz qualquer ladrão, dinheiro da saúde, da educação, da justiça, do desenvolvimento que gera postos de trabalho. Nosso superior, embora não o único, perdoem-me os donos das miraculosas soluções teóricas, econômicas e sociais, problema, é a corrupção altíssima e devastadora. Daí nosso estado atual.

Sob miragem da operação "mãos limpas" da Itália, que, ao fim e ao cabo, redundou num retumbante fracasso, com a volta dos Berlusconi da vida, com a corrupção, inclusive, entremeada com o Banco do Vaticano, o Brasil promulgou uma lei que deve ser profundamente rediscutida: a lei que premia delatores, a pior espécie dos caráteres humanos, os traidores de seus antigos parceiros, sejam da legalidade ou da ilegalidade. Não há no mundo paradigmas mais repugnantes do que Judas Iscariotes ou Joaquim Silvério dos Reis.

Há delinquentes que são, pelo menos, homens que se dispõem a pagar por seus crimes, com coragem, até o final de suas vidas. Há até mesmo os que, em determinado momento da vida delitiva, desejam ser apenados. Testemunhamos fatos dessa natureza em mais de 40 anos de exercício ininterrupto da advocacia.

Pois bem, apenas para exemplificar: essa lei (n. 12.850/2013) permite que uma organização criminosa como a JBS, em atuação no Brasil, por seus diretores máximos, embalados em conluio com um governo sem um mínimo brio, que todos desejamos esquecer e riscar do mapa político, pratique crimes de corrupção na ordem de 10 bilhões de reais, o que significa que sangraram os cofres públicos em cerca do décuplo; e, no acordo celebrado com a Chefia do Ministério Público e homologado, só nas suas formalidades externas, pelo Supremo Tribunal Federal, tenham reembolsado os cofres públicos em meros trezentos milhões, uma gorjeta diante da magnitude do crime.

Indaga-se: haverá melhor negócio? Corrompo. Se descoberta a manobra repugnante, delato. Nem sequer sou denunciado, como não o foram os diretores da J & F, principais autores dos crimes. Quer isso dizer que nem sequer serei processado, apenas se for pilhado numa mentira demonstrável por si mesma, por uma contradição íntima. Voarei como um passarinho, depois de haver lesionado gravemente meus compatriotas, até pousar numa régia cobertura na Quinta Avenida.

Ah, é um meio de prova. Talvez (dependente de corroboração), e de impunidade. Só uma das partes delinquentes é punida, o corrompido. E, tratando-se de altas autoridades políticas, no torvelinho de múltiplas marchas e contramarchas. Na verdade, a delação premiada é a confissão da inépcia da polícia, confortada na confissão de um delator. E o Brasil, hoje, é o País que mais recorre à delação premiada no mundo. Há países em que ela causa nojo e asco, e o delator é convidado à morte.

  

Amadeu Roberto Garrido de Paula - Advogado e sócio do Escritório Garrido de Paula Advogados.

Os olhos opacos de Gilmar Mendes

Para falar dos últimos acontecimentos envolvendo o ministro Gilmar Mendes, proponho aqui um exercício: imaginarmos o magistrado analisando a própria conduta a partir da sua formação jurídica. Vamos lembrar que, nos anos de 1980, o país vivia uma série de transformações provocadas pelo fim do regime militar, a população pedia eleições diretas nas ruas, Tancredo Neves era eleito indiretamente presidente pelo Congresso Nacional, o vice José Sarney assumia depois do falecimento de Tancredo, e a nova Constituição Federal era elaborada para finalmente concretizar os princípios republicanos e democráticos que orientavam os países europeus desde a Segunda Guerra Mundial.

Todas as transformações certamente estavam ligadas aos desejos de mudança do então jovem Gilmar Mendes, que havia se formado em 1978 na Universidade de Brasília (UnB), fazia seu doutorado na Alemanha nos anos 80 e já ocupava, desde 1984, o cargo de procurador da República. Imaginando que ele próprio fizesse um retrospecto de suas convicções jurídicas e fantasiando que fosse outro o ministro acusado por crime de responsabilidade, Gilmar Mendes certamente exigiria uma postura republicana firme contra ações que afrontassem o bom funcionamento dos poderes do Estado e da Constituição de 1988.

Então, vamos aos fatos: o ex-procurador-geral da República Cláudio Fonteles apresentou, na última quarta-feira, dia 14, pedido de impeachment contra o ministro do Supremo Tribunal Federal por crime de responsabilidade praticado.

 O fundamento do pedido é o diálogo desse ministro do Supremo com um senador. A fala, gravada pela Polícia Federal, mostra o parlamentar pedindo para o ministro ligar e orientar um senador a votar no projeto de lei que regula o abuso de autoridade. O magistrado responde que já conversou no mesmo sentido com outros dois senadores. Fonteles afirma contundentemente: “ele [o ministro Gilmar Mendes] não só se apressa a dizer a seu interlocutor que assumira a postura [de conversar com um senador] como que já providenciava contatos com dois outros senadores da República”. Para Fonteles, “isso é um clímax: é a hora histórica de brasileiros e brasileiras passarem o país a limpo”. O ex-procurador-geral conclui dizendo que o ministro está “concreta e objetivamente” desenvolvendo “política partidária”, de forma a caracterizar crime de responsabilidade.

Se fosse Gilmar Mendes a analisar os fatos do ponto de vista estritamente técnico, concordaria com essas declarações e ainda recordaria de algumas passagens nebulosas envolvendo este mesmo ministro do Supremo, que no caso é ele próprio. A primeira: o magistrado é sócio do Instituto de Direito Público. A entidade recebeu mais de R$ 2 milhões do frigorífico JBS, empresa que tem um modus operandi criminoso no país e fez acordo de delação denunciando o presidente da República. O segundo momento ocorreu quando o ministro fez a (no mínimo) polêmica declaração de que “o cemitério está cheio desses heróis”, direcionada aos membros do Ministério Público que investigavam atos de corrupção em estatais. O terceiro momento veio no julgamento da cassação da chapa do presidente da República, Michel Temer, por abuso de poder econômico e político. A decisão do ministro pela não cassação contrariou todas as provas produzidas, que detalhavam os crimes de abuso cometidos durante o processo eleitoral.

O áudio apresentado pela Polícia Federal apontava provas irrefutáveis de que o magistrado praticou atividades no campo político-partidário que passam ao largo das atividades típicas da sua função. A separação dos poderes e o funcionamento independente e harmônico do Executivo, Legislativo e Judiciário são claras na Constituição Federal e são a base do Estado Democrático de Direito (artigos 1.º e 2.º da Constituição). A sobreposição de ações anula e vicia o correto funcionamento institucional pela quebra básica da organização dos poderes (Título IV da Constituição). Nesse sentido, é inconcebível, no funcionamento regular de uma república, que o magistrado tome decisões políticas como parlamentar.

O impeachment é a medida extrema a ser tomada pelo Congresso Nacional contra o ministro do Supremo Tribunal Federal (inciso II do artigo 52 da Constituição Federal). É provável que o próprio jovem Gilmar Mendes defenderia que o afastamento definitivo do magistrado pelo crime de responsabilidade cometido é o único caminho possível para recompor a credibilidade do Judiciário. 

Pensaria novamente: são novos tempos que exigem sacrifícios institucionais.

Ao se encarar no espelho, o velho Gilmar Mendes certamente desconheceria o seu passado, sua produção acadêmica e o espírito público que possivelmente já o motivou. Os olhos opacos de Gilmar Mendes deixam suas ações obscuras à luz dos princípios republicanos e democráticos que guiam a Constituição Federal de 1988 no século 21.

Eduardo Faria Silva - coordenador da graduação em Direito e da Pós-Graduação em Direito Constitucional e Democracia da Universidade Positivo (UP).