Comecemos com uma descrição de cada uma delas, ainda que se deva ter em conta que a informação que abordamos neste artigo pode variar em apenas algumas horas, já que estas ameaças evoluem e mutam-se numa questão de minutos.

 

BLACKHOLE: Já muito se falou sobre esta ameaça. O objectivo é obter uma lista de vulnerabilidades das máquinas onde se executa. Basicamente, e explicando de forma simples, quando um utilizador navega pela Internet e executa o código desta aplicação no seu computador, permite obter uma lista das vulnerabilidades do mesmo. As primeiras versões do Blackhole procuravam vulnerabilidades associadas às aplicaçõs mais comuns: Java, Flash, Adobe, browsers e respectivos plug-ins, XML…

 

Como referimos este malware evolui constantemente, e nas últimas versões o Blackhole analisa um menor número de aplicações mas aumenta o número de vulnerabilidades exploradas em cada uma delas. Actualmente centra-se principalmente em Java, Adobe e browsers, com especial foco no primeiro, chegando a serem publicadas novas versões do Blackhole somente 2 horas depois de se conhecer uma nova vulnerabilidade de Java.

 

Com o Blackhole, originou-se uma actividade de negócio distinta para os hackers, a que poderíamos chamar “Malware-as-a-Service”. É possível contratar uma subscrição para explorar este malware por horas, dias, meses ou anos. Observamos assim uma especialização que no mínimo surpreende: os criadores do Blackhole não tentam infectar o computador directamente com malware, mas sim vender a informação e a ferramenta que terceiros utilizarão para infectar o PC. Assim que um hacker obtém o relatório gerado pelo Blackhole, é capaz de determinar qual é o malware ou a versão de malware que melhor se adapta ao PC a atacar.

 

ZEROACCESS: Este malware enquadra-se no que conhecemos como rootkit, na medida em que o seu principal objectivo é camuflar-se ou camuflar outras espécies de malware.

 

Este rootkit tem inúmeras versões. Começou como uma versão para sistemas de 32bits, que instalava um controlador de acesso ao disco e encriptava a respectiva parte em que era alojado, evitando assim que o sistema operativo tivesse acesso a essa zona do disco. Posteriormente, foi criada uma versão de 64bits que explorava a “Global Assembly Cache”, zona reservada para o pacote .NET. Finalmente, para não ter que manter duas versões de acordo com o sistema (32 ou 64bits), passou a utilizar técnicas comuns para ambos, como injecção em DLL, sistemas de ficheiros encriptados, camuflagem de conteúdos, etc.

 

Esta espécie de malware também é capaz de eliminar processos reconhecidos de ferramentas de segurança, para não ser detectado e/ou eliminado. Na luta para identificar este tipo de malware, os fabricantes de segurança, para evitarem ser reconhecidos, lançam processos com nomes aleatórios impedindo que sejam identificados e atacados pelo malware. Para combater isto, o ZeroAccess evoluiu e deixou de se ocultar, totalmente ou em parte, com o objectivo de atrair as atenções da solução de segurança. Em seguida, toma nota de todos os processos que atacam essa parte visível e posteriormente tenta eliminá-los. 

 

Além disso, o Zeroaccess é capaz de actuar como botnet, podendo comunicar com o exterior e receber instruções precisas sobre o que deve realizar a cada momento. Para esta comunicação com o exterior, utiliza um sistema P2P que dificulta a identificação e o corte dessas comunicações.

 

RANSOMWARE: É mais conhecido como o vírus da polícia. É uma ameaça antiga que surgiu em 2004/5, mas que evoluiu e cresceu de forma exponencial neste último ano. 

A Sophos tem acompanhado este vírus no seu blog. A ideia principal é apoderar-se do computador ou dos seus ficheiros, e pedir um resgate para os recuperar. Existe uma infinidade de versões, algumas delas simplesmente comprimem os ficheiros e colocam-lhes uma password, outras modificam os dados (XOR) e as últimas encriptam-nos com algotimo AES256. Nos dois primeiros casos, é possível recuperar a informação de uma forma mais ou menos simples, mas no terceiro caso é praticamente impossível, porque o malware lança uma ligação http encriptada com RC4 para o exterior, sobre a qual ocorre a troca de chaves (pública e privada) e se encriptam os ficheiros com AES256. 

Após sequestrarem os ficheiros no computador, pedem uma quantia de resgate para os libertar. E se os contactar, chegam inclusivamente a enviar amostras dos seus próprios ficheiros para que possa comprovar que pode recuperá-los.

A verdade é que cada uma destas espécies de malware já surpreende de forma independente, e ainda mais se tivermos em conta as técnicas de polimorfismo, ocultação e mutação de cada uma delas. Mas é realmente quando trabalham de forma coordenada, que nos apercebemos do seu potencial:

O Blackhole é “o informador”, que se encarrega de analisar o sistema e identificar o ponto de menor protecção e vigilância a utilizar como porta de entrada para o sistema. Com esta informação idealizará o "plano de assalto", detalhando que versão de malware será a mais eficiente para cumprir a missão de ataque. 30% das infecções detectadas o ano passado pelo SophosLabs, utilizaram esta técnica para detectar as portas de entrada para o sistema a atacar.

Após conhecida a melhor porta de entrada, entra em jogo “o sapador” ZeroAccess, que se infiltra no sistema, elimina a vigilância e prepara o terreno para que a máquina de assalto possa actuar sem dificuldades, passando despercebido. Este rootkit é utilizado para dissimular qualquer actividade maliciosa, e tentar bloquear as soluções de segurança existentes na máquina atacada.

Por último, já preparado o terreno, é quando entra em acção “a máquina de assalto”, o Ransomware, como parte final da cadeia. Tomará como reféns todos os ficheiros do sistema afectado, pedindo um resgate para a sua libertação. Este malware sequestrará os ficheiros encriptando-os de modo a impedir o seu acesso, e demonstrará que se encontram de facto vedados a cada tentativa de acesso a esses ficheiros, solicitando dinheiro para os recuperar.  

Como vemos, não só é importante conhecer estes ataques de forma individual, como é igualmente relevante conhecer a cadeia de ataque quando trabalham numa missão conjunta, e consequentemente é vital sabermos proteger-nos perante eles.

Um controlo de aplicações robusto nos PCs combinado com uma gestão de pacotes de correcção, para que o nosso sistema se mantenha protegido "ao dia" contra vulnerabilidades, e uma filtragem WEB que proteja o dispositivo onde quer que se encontre, conseguirão proteger-nos contra "o informador" Blackhole. 

Uma firewall no perímetro e/ou nos postos que controle as ligações efectuadas, juntamente com um antivírus actualizado com protecção no acesso e host IPS que controlem o comportamento das aplicações que se executam no nosso sistema, fulminará "o sapador" Zeroaccess e "a máquina de assalto" Ransomware que ameaçam os nossos PCs.