Dentre as notícias desta semana, destacamos: a Microsoft iniciou ações legais contra NoIP, empresa de hospedagem que supostamente ganhava dinheiro ao deixar cibercriminosos usarem seu serviço para organizar campanhas maliciosas; a campanha de ameaça avançada (APT) Miniduke ressurgiu depois de mais de um ano de ausência.
NoIP
NoIP é um provedor dinâmico de nomes de domínio (DNS). Eles fornecem um serviço que permite aos usuários comprar nomes de domínio para sites como qualquer outro provedor de DNS. A diferença, em termos simples, é que os sistemas de DNS clássicos é que os dinâmicos permitem que os administradores atualizem facilmente seus nomes de domínio e endereços IP. Este recurso pode ser uma ferramenta valiosa para os cibercriminosos que buscam evitar a detecção de antivírus que bloqueariam os endereços IP dos sites de hospedagem de malware ou atuando como um servidor de controle de uma botnet. Infelizmente, neste cenário, muitas empresas que não são maliciosas usam o DNS dinâmico e os serviços do NoIP.
Segundo a Microsoft, o “NoIP operava como o dono de uma infraestrutura utilizada por cibercriminosos para infectar as vítimas inocentes com a família de malware Bladabindi (NJrat) e Jenxcus (NJw0rm)”
Uma das formas para que a Microsoft interrompa as operações do malware é por meio da aquisição de uma ordem de restrição temporária, ou seja, uma autorização legal que dá à empresa a capacidade de aproveitar os domínios utilizados para as operações maliciosas e redirigir o tráfego para domínios controlados pela Microsoft. A tarefa de “Sinkholing” implementada pela Microsoft, é um método amplamente aceitável para interromper o funcionamento das redes de botnets e de outras empresas.
Pela explicação do Threatpost, os pesquisadores muitas vezes trabalham com provedores de hospedagem para redirecionar o tráfego de domínios maliciosos para aqueles controlados pelos pesquisadores ou pelas autoridades da lei, ajudando a cortar a linha de vida das operações. O problema é que o NoIP afirma que não foi contactado pela Microsoft neste caso.
A decisão causou um rebuliço na comunidade de segurança. Uma razão para a controvérsia é bastante típica: o que dá à Microsoft – uma empresa privada com seu próprio conjunto de valores objetivos, e não uma agência de aplicação da lei – a autoridade para tomar o que equivale a uma ação de execução contra outra empresa ou grupo de indivíduos. Em essência, parece que a Microsoft é o policiamento da Internet com base em seus próprios interesses. Infelizmente, as denúncias foram mais fortes desta vez, porque a Microsoft acidentalmente derrubou um número de sites legítimos no processo de realizar este queda particular.
Você pode ler o que disse o diretor de Pesquisa e Análise da equipe Global da Kaspersky Lab, Costin Raiu aqui.
Miniduke está de volta
A campanha de ameaça persistente avançada (APT) Miniduke está de volta. Os pesquisadores da Kaspersky Lab descobriram pela primeira vez a campanha de espionagem de malware em fevereiro do ano passado. Na época, ela estava sendo implantado para espionar principalmente os governos da Europa. Miniduke foi o único entre os outros atores da APT no momento da sua descoberta inicial para uma série de razões, incluindo que o malware se comunica em parte usando o Twitter e envia os arquivos executáveis projetados para atualizar o malware, de forma escondida em .Gif, em máquinas infectadas.
Esta segunda onda – analisada em um artigo da SecureList na quinta-feira – mostra que a campanha tem aumentado tanto em alcance e complexidade na sequência após um um ano de interrupção. Além da orientação do governo, militares e organizações de energia, a campanha rouba dados de traficantes de drogas on-line, sobretudo aqueles que vendem hormônios e esteróides. Além disso, uma vez que o malware implantado pela campanha rouba informações dos seus alvos, ele quebra essa informação em partes pequenas e dispersa as partes, dificultando assim a vida dos pesquisadores que procuram saber mais sobre a campanha.
O novo Miniduke, chamado Cosmicduke, conta com novas ferramentas criadas para roubar mais informações de maneira mais eficiente. Você pode ler a reportagem completa no Threatpost.
Nas notícias sobre #segurança desta semana, a @Microsoft move o #NoIP e ressurge a APT#Miniduke
Tweet
Tradução: Juliana Costa Santos Dias