Em janeiro deste ano, a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –já havia detectado uma variante do malware KillDisk atingindo diversas instituições financeiras na América Latina.
Um desses ataques estava relacionado a um roubo frustrado no sistema da organização conectado à rede SWIFT (Sociedade de Telecomunicações Financeiras Interbancárias Mundiais).
No último mês de maio, a Trend Micro revelou um wiper (malware que inutiliza o disco rígido) na mesma região. Uma das organizações afetadas era um banco cujos sistemas ficaram inoperantes por vários dias, interrompendo as operações por quase uma semana e limitando os serviços aos clientes. A análise da Trend Micro indica que o ataque foi utilizado somente como uma distração – o objetivo final era acessar os sistemas conectados à rede SWIFT local do banco.
Tudo começou um problema nas máquinas afetadas relacionado com o setor de inicialização (MBR) do disco rígido. Com base na mensagem de erro exibida após os testes feitos, a Trend Micro foi capaz de determinar que esta era outra – possivelmente nova – variante do KillDisk. Este tipo de mensagem é comum em sistemas especificamente afetados por ameaças wiper do tipo MBR e não em outros tipos de malware, tais como ransomware, que algumas pessoas inicialmente acreditavam ser o motivo da paralização.
Os produtos da Trend Micro detectam esta ameaça como TROJ_KILLMBR.EE e TROJ_KILLDISK.IUE.
A natureza isolada deste malware dificulta determinar se o ataque foi motivado por uma campanha cibercriminosa oportunista ou parte de um ataque coordenado, como os ataques observados em janeiro.
A Trend Micro conseguiu obter uma amostra que talvez possa ser o malware envolvido nos ataques de maio de 2018. A amostra foi executada e ela quebrou o setor de inicialização do disco rígido, conforme esperado (Figura 1). Uma análise inicial do arquivo revelou que o malware foi criado usando um sistema NSIS (Nullsoft Scriptable Install System), uma aplicação de código aberto utilizada para criar programas de instalação. O criador do malware nomeou-o propositalmente como “MBR Killer”.
Apesar de a amostra ser protegida pelo VMProtect (um protetor de executáveis utilizado para defesa contra engenharia reversa), ainda assim foi verificada uma rotina que apaga o primeiro setor do disco rígido da máquina, como mostrado na figura abaixo.
A Trend Micro não encontrou nenhuma outra rotina nova ou importante na amostra analisada. Não há evidência de infraestrutura ou comunicação com C&C (comando & controle), ou rotinas típicas de ransomware codificadas na amostra nem indicações de comportamento relacionado à rede.
O malware nomeado “MBR Killer” (em amarelo) e abaixo um snippet mostrando a rotina de limpeza do disco
Como o malware desempenha sua rotina wiper do MBR
Como o malware apaga o disco da máquina afetada
O malware foi projetado para apagar o primeiro setor de todos os discos rígidos físicos que encontra no sistema infectado. A seguir, há um resumo de como o malware desempenha sua rotina wiper do MBR:
Os recursos destrutivos desse malware, que podem deixar a máquina afetada inoperante, enfatizam a importância da defesa completa: para cobrir cada camada da infra-estrutura de TI da organização, de gateways e terminais para redes e servidores.
Aqui estão algumas das melhores práticas que as organizações podem adotar para se defender contra esse tipo de ameaça:
You must be logged in to post a comment.