Cardurile blocate in ATM si PIN-ul furat, din cauza unui nou virus care opereaza prin intermediul sistemului de citire al bancomatelor.

Virusul denumit Backdoor.ATM.Suceful a fost creat in Rusia si poate citi datele de pe banda magnetica si cipul cardurilor bancare. Pe scurt, iti fura codul PIN si poate “convinge” bancomatul sa ti-l blocheze inauntru, raporteaza portalul Gizmodo. Desigur, virusul opereaza fara a fi detectat de sistem, scrie business24.ro.

Backdoor.ATM.Suceful a fost descoperit de specialistii in sisteme de securitate informatica de la FireEye si se dovedeste capabil sa opereze pe diferite tipuri de ATM-uri.

In clipa de fata circula o versiune a virusului din data de 25 august 2015, fapt care ii face pe specialisti sa creada ca acesta este inca in faza de dezvoltare.

Tehnicienii de la FireEye spun ca un astfel de pericol de securitate nu a mai fost intalnit pana acum la bancomate, iar o eventuala evolutie a virusului poate sa duca la raspandirea acestuia dincolo de granitele Rusiei, tara unde a fost creat.

Specialistii in securitate sustin ca nu poti depista un ATM infectat cu Backdoor.ATM.Suceful, ca simplu utilizator. Singurul sfat util ar fi sa-ti pastrezi in telefon numarul de urgenta al bancii emitene si sa suni imediat, daca ti-a ramas cardul in ATM.

Un grup de cercetători a descoperit o nouă vulnerabilitate SSL/TLS (CVE-2015-0204), denumind-o FREAK, acronim pentru Factoring RSA Export Keys. Această vulnerabilitate permite atacatorilor să intercepteze conexiuni de tip HTTPS între clienții vulnerabili și serverele web, forțându-i să utilizeze criptografia de tip „export-grade”.

Descriere

O conexiune este vulnerabilă dacă serverul web acceptă „negocierea” cifrului folosit. Suportul pentru algoritmi slabi de criptare a rămas în numeroase implementări ale OpenSSL, chiar dacă în principiu este dezactivat. Un astfel de algoritm criptografic cu chei publice este și RSA (en:  Rivest-Shamir-Adleman cryptosystem).

Conexiunea este compromisă dacă serverul acceptă suita RSA_EXPORT, iar clientul fie oferă suita RSA_EXPORT, fie folosește o versiune OpenSSL care este vulnerabilă la CVE-2015-0204. Ulterior, aceste conexiuni  pot fi decriptate sau alterate.

Printre clienții vulnerabili se numără și dispozitive produse de mari companii din domeniul IT&C, pentru că folosesc versiuni de OpenSSL neactualizate, un număr mare de sisteme integrate, precum și alte produse software care folosesc TLS fără a dezactiva suitele criptografice vulnerabile.

Impact

Website-urile care suportă RSA_EXPORT (ex: TLS_RSA_EXPORT_WITH_DES40_CBC_SHA), dar și alți algoritmi criptografici depășiți pot fi supuse atacurilor de tip Man-in-the-Middle prin interceptarea conexiunilor de tip HTTPS.

Cu scopul de a urmări impactul atacului FREAK, cercetătorii au efectuat scanări ale spațiului de adrese IPv4, rezultatele fiind disponibile la adresa https://freakattack.com/.

Măsuri de soluționare

Dacă administrați un server web, ar trebui să dezactivați suportul pentru suitele de protocoale de criptare de tipexport. De asemenea, este recomandată și dezactivarea suportului pentru alte suite de protocoale de criptare nesigure și să activați FS (en: forward secrecy).

Mozilla a publicat un ghid referitor la soluționarea acestei vulnerabilități, punând la dispoziție și un generator de configurație SSL pentru servere web folosite uzual.

Puteți verifica dacă site-ul dvs. este vulnerabil, folosind SSL Server Test, platforma de test a SSL Labs, accesând link-ul următor https://www.ssllabs.com/ssltest/.

Ransomware este un software malițios ce împiedică accesul la fișiere, sau chiar la întregul sistem infectat, până la plata unei „recompense”.

Acest tip de malware nu reprezintă o noutate, însă pentru a îngreuna procesul de recuperare a fișierelor, ransomware-urile actuale blochează accesul la documente (documente, fotografii, muzică, filme etc.) prin criptarea asimetrică a acestora.

CTB Locker (Curve-Tor-Bitcoin Locker), cunoscut şi sub numele de Critroni, reprezintă un software maliţios de tipul ransomware al cărui scop este de a cripta fişierele stocate pe sistemul afectat. Acesta a fost lansat la mijlocul lunii iulie a anului 2014 şi vizează toate versiunile de Windows, inclusiv Windows XP, Windows Vista, Windows 7 şi Windows 8.

Odată infectat cu acest malware, sistemul afectat va fi scanat, iar fişierele regăsite pe acesta vor fi criptate. Este important de ştiut că dacă în trecut fişierele criptate îşi schimbau extensia în CTB sau CTB2, ultimele versiuni de CTB Locker identificate adaugă fişierelor criptate o extensie aleatoare (spre exemplu .ftelhdd, .ztswgmc, etc.). După criptarea fişierelor, este deschisă o fereastră de răscumpărarea datelor precum cea prezentată mai jos:

În momentul în care un sistem este infectat cu CTB Locker, malware-ul se va stoca în directorul %Temp% sub forma unui executabil cu un nume aleator. Acesta va crea apoi un proces cu nume aleator în Task Schedule care lansează executabilul maliţios de fiecare dată când utilizatorul victimă se autentifică pe sistemul infectat. Iniţial, programul maliţios realizează o scanare prin care urmăreşte identificarea fişierelor de date de pe toate partiţiile, inclusiv dispozitive de stocare externe şi spaţii de stocarea datelor partajate în reţea.

Când CTB Locker identifică un fişier de date valid, acesta îl criptează utilizând algoritmi de criptare cu curbe eliptice. După criptarea tuturor fişierelor de date, malware-ul va deschide fereastra de răscumpărare, va schimba fundalul cu fişierul %MyDocuments%AllFilesAreLocked.bmp şi va crea fişierele %MyDocuments%DecryptAllFiles.txt şi %MyDocuments%.html.

Toate modificările aduse de către malware în pasul anterior conţin detalii privind instrucţiunile de urmat pentru plata răscumpărării.

O altă caracteristică a acestui malware este că acesta comunică cu serverele de comandă şi control via TOR, o reţea de tunele virtuale utilizată pentru obţinerea anonimatului, identificarea atacatorilor devenind mult mai dificilă. În plus, de fiecare dată când sistemul infectat este repornit, CTB Locker se va copia sub o altă denumire în %Temp% şi va iniţializa alt proces în Task Scheduler. Aşadar, şansele sunt ridicate ca pe sistemul infectat să existe mai multe copii ale software-ului maliţios.

Varianta nouă de Critroni, și anume CTB Locker, oferă, mai nou, posibilitatea de decriptare a 5 fișiere. În fereastra pricipală ce apare în momentul infecției, prin apăsarea pe Next și apoi pe butonul Search se vor alege în mod aleatoriu 5 fișiere care vor fi decriptate pentru a dovedi victimelor că fișierele pot fi recuperate.

IMPACT

Troianul CTB Locker are un impact major deoarece poate duce la pierderea definitivă a datelor stocate pe sistemele infectate.

CTB-Locker va cripta toate fişierele stocate pe driver-ele sistemului dumneavoastră, cele stocate pe dispozitive mobile, inclusiv fișierele aflate pe medii de stocare partajate (numai dacă acestea sunt mapate ca driver pe sistemul infectat).

MĂSURI DE SOLUŢIONARE

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.

Prevenirea infectării cu malware-ul CTB Locker

Se poate utiliza Windows Group sau Local Policy Editor pentru a se crea politici de restricționare ce blochează rularea fișierelor .exe când se află în anumite locații. Pentru mai multe informați privint configurarea restricțiilor (Software Restriction Policies), puteți consulta articolele de la Microsoft :

• http://support.microsoft.com/kb/310791
• http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Locațiile folosite de acest tip de infecții sunt :

• C:.exe
• C:UsersAppDataLocal.exe (Vista/7/8)
• C:UsersAppDataLocal.exe (Vista/7/8)
• C:Documents and SettingsApplication Data.exe (XP)
• C:Documents and SettingsLocal Application Data.exe (XP)
• %Temp%