Hacking do blog do site de notícias “The Independent” leva ao TeslaCrypt Ransomware

Atualizado em 9-12-15, 18:14 PST (UTC -8): Editamos essa publicação para dar mais detalhes técnicos sobre o incidente, incluindo outra sequência de infecção.

Até agora, a parte do blog do site está redirecionando todos os usuários para o site principal. O porta-voz do The Independent declarou que um “anúncio aparecendo no blog do site poderia ter incluído malware”. Também acrescentaram que o site afetado era um sistema “legado” raramente visitado.

Atualizado em 08-12-15, 19:15:00 PST (UTC -8): Editamos essa publicação para mostrar a situação atual das comunicações com o The Independent e a ameaça atual. Até agora, o site ainda está comprometido e trazendo várias ameaças de malware aos usuários.

A página do blog de um dos sites de mídia líderes do Reino Unido, The Independent, foi comprometida, podendo colocar seus leitores em risco de infecção por ransomware. Já informamos The Independent sobre esse incidente de segurança. Porém, o site ainda está comprometido e os usuários ainda estão em risco.

Deve-se observar que só a parte do blog do site – que usa o WordPress – foi impactada; o restante do The Independent online parece não ter sido afetado. WordPress é uma plataforma de blogs muito popular que já sofreu vários ataques e comprometimentos de atores de ameaças e cibercriminosos querendo infectar seus usuários. Outros pesquisadores de ameaças observaram que isso faz parte de um campanha maior envolvendo os sites comprometidos do WordPress.

Me deparei com isso enquanto monitorava a atividade do Angler Exploit Kit. Baseado em minhas investigações, pelo menos desde 21 de novembro, a página do blog comprometida redirecionava os usuários para páginas hospedando o exploit kit mencionado. Se o usuário não tiver um Adobe Flash Player atualizado, o sistema vulnerável baixará o ransomware Cryptesla 2.2.0 (detectado pela Trend Micro como RANSOM_CRYPTESLA.YYSIX).

Figura 1. Diagrama da infecção

O malware então muda a extensão dos arquivos criptografados para “.vvv”.

A vulnerabilidade envolvida nesse caso específico foi descoberta como sendo a CVE-2015-7645. Essa também foi a vulnerabilidade mais recente que detectamos como mais uma do repertório do Angler.

Figura 2. Nossa análise mostrando a página do blog do The Independent comprometida
Figura 3. Captura de tela da nota de resgate

O Angler Exploit Kit é o exploit kit mais ativo até o momento, integrando vulnerabilidades de dia-zero do Adobe Flash relacionadas ao vazamento do Hacking Team. Em nosso relatório de ameaças do 3º trim., observamos um pico no número de links hospedando o Angler entre maio e setembro de 2015.

Também rastreamos o número de acessos ao TDS entre os sites comprometidos levando ao Angler EK ( não apenas o blog do The Independent) e observamos até 4.000 acesso por dia. O número real pode ser maior.

Figura 4. Número de usuários redirecionados dos sites comprometidos levando ao Angler EK

Um contínuo monitoramento desse incidente revelou outra sequência de infecção. Ao invés de baixar imediatamente o ransomware TeslaCrypt no sistema afetado, o exploit kit baixa primeiro o malware BEDEP.

Identificado pela primeira vez em 2014, o malware BEDEP se tornou mais predominante esse ano devido ao seu uso em ataques de exploit kit. Notamos até que ele era a carga final de um ataque envolvendo o Angler Exploit Kit no começo do ano. Em nosso Guia de Segurança BEDEP, apontamos que “BEDEP e suas linhagens são conhecidos por escapar da detecção por causa de sua forte criptografia. Ele também vem em propriedades de arquivos Microsoft manipulados para parecerem legítimos em uma inspeção.” Nessa sequência de infecção específica, a variante BEDEP chega através de infecção fileless, para evitar a detecção.

O malware BEDEP é conhecido por baixar outros malware – uma rotina demonstrada nesse incidente em particular. A variante BEDEP baixa ransomware nos sistemas afetados. Mas, em vez do TeslaCrypt, ele baixa outro ransomware famoso, o CryptoLocker. Esse malware exige que o usuário pague uma taxa de US$499 dólares pela decodificação; a taxa aumenta depois de um tempo.

É difícil determinar a exata razão do BEDEP ter sido adicionado à sequência de infecção mas é bem provável que os cibercriminosos queiram tirar vantagem dos diferentes recursos do malware, que incluem roubo de informações e backdoor.

Nós da Trend Micro fornecemos proteção para os sistemas do usuário, bloqueando todos sites maliciosos conhecidos relacionados e detectando a carga final.

Insights e análises adicionais de Feike Hacquebord, Brooks Li, David Agni e Anthony Melgarejo.

Dica de Jérôme Segura, do Malware Bytes, com sua pesquisa sobre a campanha que comprometeu os sites do WordPress.