Dados do Software AG são expostos após ataque de ransomware – Relatório

O malware clop e a assinatura do grupo atacaram novamente – desta vez atingindo um alvo gigante na forma do conglomerado de software alemão Software AG. A empresa não está pagando um resgate gigantesco de US $ 23 milhões (até agora) e, no fim de semana, confirmou que os criminosos estavam divulgando dados da empresa, de acordo com relatórios.

Os cibercriminosos do ransomware Clop conseguiram se infiltrar nos sistemas da empresa no início de outubro. A empresa divulgou um comunicado em 5 de outubro anunciando publicamente o ataque , acrescentando: “Embora os serviços para seus clientes, incluindo seus serviços baseados em nuvem, permaneçam inalterados, como resultado, a Software AG desligou os sistemas internos de maneira controlada, de acordo com com os regulamentos internos de segurança da empresa ”, dizia o comunicado.

Mas essa avaliação acabou sendo prematuramente otimista. Poucos dias depois, a empresa teve que admitir que Clop era, de fato, capaz de acessar e baixar dados de clientes . E no sábado, admitiu que os dados estavam sendo divulgados, segundo a Bloomberg.

“Hoje, a Software AG obteve a primeira evidência de que os dados foram baixados dos servidores e notebooks dos funcionários da Software AG”, disse a empresa em seu comunicado de acompanhamento. “Ainda não há indicações de que os serviços aos clientes, incluindo os serviços baseados em nuvem, sejam interrompidos.”

A empresa desligou sistemas internos como medida de segurança – até o momento em que este livro foi escrito, os efeitos do ataque cibernético estavam se arrastando.

“As gangues de ransomware estão se tornando mais ousadas e sofisticadas, perseguindo alvos maiores e mais lucrativos com seus ataques criminosos”, disse Saryu Nayyar, CEO da Gurucul, por e-mail. “Este recente ataque contra a Software AG da Alemanha é um dos maiores ataques de ransomware, mas certamente não será o último. Mesmo com uma pilha de segurança completa e uma equipe de operações de segurança madura, as organizações ainda podem estar vulneráveis. O melhor que podemos fazer é manter nossas defesas atualizadas, incluindo ferramentas de análise comportamental que podem identificar novos vetores de ataque e educar nossos usuários para reduzir a superfície de ataque. ”

Ela acrescentou: “Com pouco risco de punição e recompensas potencialmente de vários milhões de dólares, esses ataques continuarão até que a equação mude”.

Clop’s Clout

“Escala e influência não tornam uma organização imune a ataques de ransomware, e muitas vezes a tornam um alvo mais vulnerável”, disse Dan Piazza, gerente de produto técnico da Stealthbits Technologies, por e-mail. “Uma organização com bolsos profundos significa que os invasores vão dedicar grandes recursos para comprometê-los, e mais funcionários e redes significa uma superfície de ataque maior. Isso também mostra que os atores da ameaça estão mais motivados do que nunca e se sentem confiantes ao solicitar somas exorbitantes – provavelmente devido a sucessos anteriores. ”

O Clop surgiu como uma ameaça potente de ransomware. Descoberto pela primeira vez em fevereiro de 2019 pelo MalwareHunterTeam , o grupo continua a aterrorizar empresas com uma tática chamada “extorsão dupla”, o que significa que rouba os dados e, se seus pedidos de resgate não forem atendidos, os dados são despejados em um site criminoso para qualquer pessoa acessar.

Além disso, a Software AG, Clop chegou recentemente à ExecuPharm , uma empresa biofarmacêutica, em abril. E depois que a empresa se recusou a pagar, os criminosos vazaram os dados comprometidos. Outros grupos de ransomware adotam táticas semelhantes, incluindo Maze, DoppelPaymer e Sodinokibi.

No mês passado, a gangue Maze despejou as informações pessoais de estudantes em Las Vegas em um fórum subterrâneo sombrio, depois que o distrito escolar de Clark County não pagou o resgate.

Mas Clop está se diferenciando por ir atrás de empresas de primeira linha, em vez de distritos escolares de pequeno a médio porte e municipalidades, que surgiram como o pão com manteiga de vigaristas de ransomware em todos os lugares.

MalwareHunterTeam compartilhou trechos da nota de resgate enviada por Clop para a Software AG, que incluía a saudação calorosa, “OLÁ, DEAR SOFTWARE AG”. A nota de resgate continuou de forma mais ameaçadora: “Se você se recusar a cooperar, todos os dados serão publicados para download gratuito em nosso portal …”

Por dentro do malware Clop 

Os pesquisadores Alexandre Mundo e Marc Rivero Lopez, da McAfee, explicaram como o malware Clop funciona em uma postagem recente no blog.

“O ransomware Clop geralmente é embalado para ocultar seu funcionamento interno”, escreveram eles. “Assinar um binário malicioso, neste caso ransomware, pode enganar as soluções de segurança para confiar no binário e deixá-lo passar.” Eles também disseram que o malware é equipado com a capacidade de se encerrar se não for instalado com sucesso como um serviço.

Uma vez implantado, ele compara o teclado do computador da vítima com os valores codificados.

“O malware verifica se o layout é maior que o valor 0x0437 (georgiano), faz alguns cálculos com o idioma russo (0x0419) e com o idioma do Azerbaijão (0x082C). Esta função retornará 1 ou 0, 1 se pertencer à Rússia ou outro país da CEI, ou 0 em todos os outros casos ”, explicaram Mundo e Lopez.

Se retornar 0, o malware funciona normalmente. Caso contrário, busca todo o contexto da tela. Ele também determina se o sistema usa um conjunto de caracteres russo e, se usar, o malware se apaga. Caso contrário, o malware segue em frente.

“Essa verificação dupla contorna os usuários com um idioma de multissistema, ou seja, eles têm o idioma russo instalado, mas não ativo na máquina, para evitar esse tipo de malware”, acrescentaram.

Em seguida, o ransomware do Clop cria um novo tópico e cria uma pasta intitulada “Favorito” em uma pasta compartilhada com o malware. Em seguida, ele fará uma chamada simulada que os pesquisadores acham que se destina a produzir uma mensagem de erro e fará um loop de 666.000 vezes. Se o malware descobrir proteções antivírus, ele entrará em hibernação por cinco segundos, apenas para depois continuar sua operação nefasta.

“A próxima ação é gravar esse arquivo em lote na mesma pasta onde o malware fica com a função ‘CreateFileA’”, disseram eles. “O arquivo criado tem o nome ‘clearsystems-11-11.bat’. Mais tarde irá iniciá-lo com ‘ShellExecuteA’, espere cinco segundos para terminar e excluirá o arquivo com a função ‘DeleteFileA’. ”

O uso de arquivos .bat pelo Clop indica para Mundo e Lopez que os autores não são programadores muito sofisticados.

“Todas essas ações poderiam ter sido realizadas no próprio código do malware, sem a necessidade de um arquivo externo que pudesse ser detectado e removido”, escreveram.

Uma segunda versão do Clop analisada pelos pesquisadores mostra uma evolução do malware, mas com a mesma estrutura básica e intenção.

Empresas discutem com o Clop

Como o Clop e outros grupos de ransomware parecem estar aumentando as chances de ataques, Piazza aconselha as organizações comprometidas a serem honestas e francas com os clientes sobre a segurança de seus dados. Ele aponta para a declaração de limpeza da Software AG em 5 de outubro como um excelente exemplo do que não fazer e que prognósticos excessivamente otimistas que devem ser retratados mais tarde são venenosos para o relacionamento com o cliente.

“Os clientes desejam ter a certeza de que seus dados estão seguros quando uma organização com a qual fazem negócios é vítima de ransomware, no entanto, quando as declarações precisam ser devolvidas posteriormente, isso acaba prejudicando mais a reputação da organização do que se eles não tivessem emitido o declaração para começar (pelo menos até que a extensão do ataque seja conhecida), ”Piazza aconselhou,“ Embora declarações como essas sejam normalmente feitas com boas intenções, elas ainda podem ter consequências se forem provadas erradas e dados confidenciais vazarem ”.

Software AG não respondeu a perguntas.

Fonte: https://threatpost.com/software-ag-data-clop-ransomware/160042/