Situation ISSUE

#143

Report
12 JUN
2020

Threat Intelligence Perspective

Descoberta falha crítica no

protocolo UPnP
Microsoft corrige conjunto de
vulnerabilidades no protocolo SMB

IBM corrige falhas críticas no

WebSphere Application Server

Identificada nova campanha do

ransomware Avaddon
2 SITUATION REPORT | 12 JUNHO 2020
HORIZON

UPnP vulnerável a ataques de execução remota

de código

Existe quase que um consenso mundial em concordância

com a afirmação de que a expectativa de vida da
humanidade tem crescido de tempos em tempos. No
entanto, em minha humilde opinião, não acredito que
a expectativa de vida tenha aumentado, mas sim, que
os recursos que temos hoje proporcionam as condições
necessárias para resistir contra o tempo por mais alguns
momentos. É fato que isso se deve, em grande parte, ao
avanço tecnológico constante que tem permitido grandes
Também analisamos o surgimento de três novas
feitos a humanidade, como o tratamento para diversas
vulnerabilidades no protocolo SMB. As falhas são
doenças, a automação de várias atividades industriais e,
semelhantes à SMBGhost e podem levar a execução remota
talvez um dos maiores feitos, a Internet, pois através dela
de código (RCE), acesso não autorizado a informações do
rompemos as barreiras geográficas que impediam que as
sistema e a negação de serviço. As falhas, que afetam a
nações pudessem se comunicar livremente.
versão 3.1 e 1.0 do protocolo, decorrem da forma como o
No entanto, bem sabemos que nada sai de graça nesse protocolo SMB lida com solicitações de mensagem.
mundo, sempre tem alguém pagando a conta. E no
Ainda no campo das vulnerabilidades, a IBM corrigiu três
contexto evolutivo da tecnologia, estamos sempre
vulnerabilidades, duas das quais são consideradas críticas,
enfrentando questões que envolvem a segurança. Para
na plataforma WebSphere Application Server (WAS).
cada nova tecnologia, novas vulnerabilidades surgem;
Segundo a empresa, as falhas estão relacionadas com o
é sempre uma questão de tempo. E com os recursos
processo de desserialização e, quando exploradas, podem
computacionais não é diferente, nesse contexto e como
permitir a um atacante executar código remotamente.
destaque dessa edição analisamos uma falha no protocolo
UPnP que permite a um atacante ignorar os sistemas de Fechamos essa edição com uma pesquisa conduzida pelo
segurança para realizar buscas na rede da vítima sem ser time de Threat Intelligence da Tempest, que identificou
detectado, roubar informações sensíveis e obter o controle uma nova campanha baseada na disseminação do
sobre dispositivos IOTs com o intuito de formar uma ransomware conhecido como Avaddon contra alvos em
botnet para ataques de DDoS. todo o mundo. O ransomware é distribuído no modelo
ransomware as a service (RaaS), possui um articulado
esquema de recrutamento e afiliação de membros e
uma plataforma de pagamento com software de resgate
exclusivo mantido pelos desenvolvedores da ameaça.

Pedro Victor
ANALISTA DE SEGURANÇA

ACREDITAMOS QUE A CIBERSEGURANÇA

É UM DIREITO DO MUNDO.
EXPEDIENTE
E ISSO NOS DESAFIA.

Cristiano Lincoln Mattos EQUIPE

Chief Executive Officer Carlos Cabral
Pedro Victor
Renato Bezerra Wanessa Souza
Diretor de MSS

Ricardo Ulisses
Head of Threat Intelligence

conteudo@tempest.com.br
 3 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE

Descoberta falha crítica no protocolo UPnP

Pedro Victor
Vulnerabilidade permite a um atacante ignorar mecanismos de segurança para realizar diversos
ataques sem ser detectado

No último dia 8, o pesquisador Yunus Çadirci publicou detal-

hes sobre uma vulnerabilidade crítica (CVE-2020-12695) en-
contrada no protocolo Universal Plug and Play (UPnP). A falha,
nomeada como CallStranger, permite a um atacante ignorar os
sistemas de segurança para realizar buscas na rede da vítima
sem ser detectado, roubar informações sensíveis e obter o
controle sobre dispositivos IOTs com o intuito de formar uma
botnet para ataques de DDoS.
Fonte: callstranger[.]com
Antes de analisarmos a vulnerabilidade do protocolo, é
importante ao leitor entender como funciona o UPnP e o
encaminhamento de portas. O encaminhamento de portas é
usado para estabelecer uma conexão direta entre um aparel-
ho local, um servidor e um dispositivo remoto. Por exemplo, O CallStranger pode ser utilizado nos seguintes cenários:
é possível conectar uma câmera a um laptop e remotamente
obter acesso às imagens capturadas pelo aparelho. O acesso • Escaneamento de portas em uma rede interna;
remoto a essas imagens só é possível porque o roteador da
• Amplificação do tráfego de dados em ataques de DDoS;
rede local está configurado para aceitar conexões externas,
a qual necessita que determinadas portas TCP específicas de • Roubo de dados sensíveis;
cada serviço, estejam liberadas para aceitar tráfego oriundo
da Internet. Além disso, o uso de portas TCP no roteamento • Burlar sistemas de segurança.
de tráfego de dados é configurada manualmente para cada
cliente (sistemas, aplicativos, aparelhos de rede, etc).

O UPnP reduz a carga de trabalho administrativa, permitindo
que aplicativos e outros dispositivos consigam se conectar
automaticamente a determinadas portas. Por exemplo, para
conectar uma impressora a todos os dispositivos de uma rede,
sem o uso do UPnP seria necessário configurar manualmente
a impressora a todos os aparelhos desejados. Com o uso do
UPnP, a conectividade com serviços e dispositivos é feita
automaticamente.
Çadirci afirmou que o mantenedor do UPnP, a Open Connectiv-
ity Foundation (OFC), atualizou as especificações do protocolo
e lançou as devidas correções no dia 17 de abril de 2020. No
entanto, como a falha encontra-se no protocolo, pode levar
bastante tempo até que todos os fabricantes afetados apli-
quem as atualizações de segurança. Ademais, a página oficial
do CallStranger possui uma relação atualizada, classificada
por fabricante, dos dispositivos vulneráveis.

A falha foi classificada como sendo do tipo Server Side
Request Forgery (SSRF) e está relacionada com a função
SUBSCRIBE – recurso do UPnP que permite aos dispositivos
monitorarem as alterações realizadas em outros aparelhos
e serviços da rede. De acordo com Çadirci, a vulnerabilidade
pode ser explorada manipulando os valores malformados do
cabeçalho de retorno (Callback Header) da SUBSCRIBE. Em
um ataque, o invasor mira efetivamente a interface de rede do
alvo que está voltada para a Internet, no entanto, o cabeçalho
manipulado pelo atacante é interpretado pelo UPnP, ação que
impede os mecanismos de segurança de identificarem ativi-
dades maliciosas. Dessa forma, sistemas de Firewall, IDS/IPS e
DLPs se tornam ineficientes contra o CallStranger.
Apesar desta vulnerabilidade ter sido publicada recentemente,
a preocupação com o uso do UPnP já vem sendo discutida a
algum tempo. Em um blogpost da NordVPN, publicado em
agosto de 2019, a empresa avalia a possibilidade de manter o
protocolo desativado devido a problemas de segurança:
“Originalmente, o UPnP deveria funcionar apenas no nível
da rede local. No entanto, muitos fabricantes de roteadores
passaram a ativar o protocolo como padrão, tornando-os
detectáveis a redes externas, o que leva a muitos problemas
de segurança. Apenas uma pequena parcela dos fabricantes
aplicam mecanismos de autenticação ou autorização ao
UPnP. Dessa forma, não há restrições para que um invasor
possa solicitar a abertura de portas em qualquer roteador
que suporte o protocolo.”

SSRF É uma vulnerabilidade que permite a um atacante forçar um
determinado sistema ou dispositivo web a realizar solici-
tações HTTP para um domínio ou serviço arbitrário. Essa fal-
ha é normalmente utilizada para direcionar ataques contra
sistemas internos protegidos por firewalls e não acessíveis
pela rede externa.
Atualmente existem mais de cinco milhões de aparelhos
UPnP (vide imagem na próxima página) voltados para a
Internet. É recomendável entrar em contato com o seu forne-
cedor para obter as devidas correções.
 4 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE

Fonte: Tempest

Recomendação

Além das recomendações, o pesquisador também publicou uma prova de conceito que ajuda a identificar se os dispositivos
conectados à Internet possuem o UPnP ativado e se estão vulneráveis. Também é importante ter ciência de que esta seção
trata-se de uma recomendação, devendo ser aplicada apenas após ter sido avaliada se as ações abaixo não afetarão a
continuidade da rede.

1. Feche as portas UPnP voltadas para a Internet;

2. Feche a porta dos serviços UPnP – (verificar a documentação do produto);

3. Bloqueie todos os pacotes SUBSCRIBE e NOTIFY HTTP para o tráfego de entrada e saída;

4. Configure os mecanismos de proteção contra DDoS para bloquear pacotes NOTIFY;

5. Desative o serviço UPnP de câmeras IP, impressoras, roteadores e outros dispositivos.

REFERÊNCIAS
CVE-2020-12695: CallStranger Vulnerability in Universal Plug and Play (UPnP) Puts Billions of Devices At Risk. Tenable. 08 Junho 2020 // CallStranger vulnerability
lets attacks bypass security systems and scan LANs. ZDNet. 08 Junho 2020 // CallStranger. callstranger[.]com. 08 Junho 2020 // Ayunuscadirci/CallStranger. GitHub.
08 Junho 2020 // What is UPnP and why you should disable it immediately. NordVPN. 01 Agosto 2019.

Força-tarefa alemã de combate ao coronavírus sofre
ataque de phishing
Mais de 100 executivos de uma corporação alemã envolvida na
força-tarefa de combate ao coronavírus sofreram ataques de
phishing direcionado, informou o portal Threatpost. A empresa,
cujo nome não foi revelado, integra o conjunto de corporações
que, devido às circunstâncias, podem representar alvos de
interesse geopolítico enquanto muitos buscam pela cura, ou
por uma uma vacina para a doença.
Publicada ferramenta que busca por reuniões abertas
no Zoom
O usuário do Twitter @K3RN3L__P4N1C compartilhou um
link para Tangalanga, escrito em Go pelo usuário elcuervo
do GitHub. O Tangalanga foi concebido para fazer varreduras
aleatórias por IDs de reuniões Zoom abertas e apresentar
qualquer informação disponível, como ID da sala, nome,
proprietário e link da conferência. Entretanto, a ferramenta não
obtém as senhas das reuniões. O Tangalanga foi originalmente
publicado em 28 de Maio de 2020 e fontes de inteligência
comprovaram a efetividade da ferramenta ontem.
 5 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE
Microsoft corrige conjunto de vulnerabilidades no protocolo SMB
Wanessa Souza
Uma das falhas tem relação com a vulnerabilidade SMBGhost corrigida em março e que
recentemente teve uma nova PoC divulgada
Na última semana, antigas e novas vulnerabilidades no proto-
colo SMB voltaram a assombrar a comunidade de segurança.
Desde os ataques de ransomware ocorridos em 2017 com o
WannaCry e o NotPetya, que falhas relacionadas ao SMB tem
deixado os especialistas em segurança em estado de alerta. Na
última semana, uma nova prova de conceito capaz de explorar a
vulnerabilidade SMBGhost foi publicada no GitHub.
Além da prova de conceito, três novas vulnerabilidades no SMB
versão 3.1.1 e 1.0 foram corrigidas pela Microsoft. As falhas são
semelhantes à SMBGhost e podem levar a execução remota de
código (RCE), acesso não autorizado a informações do sistema
e a negação de serviço. As falhas decorrem da forma como o
protocolo SMB lida com solicitações de mensagem.
O Server Message Block 3.1.1 (SMBv3) é um protocolo de
compartilhamento de arquivos implementado pela Microsoft,
sendo utilizado em várias versões do Windows para desktop e
Windows Server. O protocolo permite que dispositivos aces-
sem pastas compartilhadas entre si e solicitem serviços a um
servidor SMB. No entanto, esse recurso tem sido utilizado como
ferramenta para alavancar ataques de movimentação lateral e
para disseminar as mais diversas ameaças, como foi visto ante-
riormente em famosos ataques de ransomware.
Na edição nº 130 do Situation Report, analisamos a vulnerabili-
dade nomeada como SMBGhost que permite a execução remota
de comandos e possui relação com a forma pela qual o protocolo
SMB trata certas requisições causando um integer overflow — o
problema reside especificamente na função Srv2DecompressData
no driver (srv2.sys) do servidor SMB. O SMBGhost afeta as versões
1909 e 1903 do Windows 10 e Windows Server (Server Core).
Integer overflow
Ocorre quando o resultado de uma operação algébrica com
números inteiros ultrapassa o limite máximo permitido pelo
tipo de dado, seja para mais ou para menos. Em outras pala-
vras, o erro ocorre na tentativa de armazenar dentro de uma
variável inteira (integer) um valor maior que a capacidade
máxima que essa variável pode conter. Problemas de integer
overflow geralmente ocorrem devido à falta de validação das
variáveis envolvidas.
Segundo a Microsoft, a exploração pode ser feita de maneira
não autenticada, apenas enviando pacotes maliciosos para o
servidor. No caso de versões SMB para desktop é necessário
que o usuário seja persuadido a se conectar a um servidor SMB
malicioso. No dia 12 de março, a Microsoft emitiu um comunica-
do informado ter corrigido a falha e disponibilizado os devidos
patches de correção.
Função responsável pelo recebimento da mensagem compac-
tada enviada por um cliente, alocação da memória necessária e
descompactação dos dados. Durante a rotina de descompactação,
o SMB falha em verificar se o comprimento dos pacotes de dados
enviados pelos clientes é legítimo, o que acaba levando a um
erro de integer overflow (transbordamento de números inteiros).
Nova PoC para a SMBGhost
Recentemente, uma nova prova de conceito capaz de explorar
a vulnerabilidade SMBGhost foi divulgada publicamente pela
persona identificada como @chompie1337 no Twitter. A explo-
ração resulta na execução remota de código, quando aplicada a
uma versão do Windows 10 sem os devidos patches de corre-
ção. Desde a divulgação da vulnerabilidade em março deste
ano, várias provas de conceito foram lançadas, no entanto, os
resultados se limitavam a escalação de privilégios locais (LPE) e
a negação de serviço.
Essa não seria a primeira exploração com o objetivo de obter
acesso remoto por meio do SMBGhost. Em abril deste ano,
a empresa de segurança ZecOps anunciou a criação de uma
exploração que funciona de forma conjunta com uma outra
vulnerabilidade de infiltração. Neste mesmo mês, a empresa
Ricerca Security forneceu detalhes técnicos sobre a abordagem
RCE para exploração dessa falha, no entanto, ambas as empre-
sas não divulgaram as provas de conceito publicamente.
De acordo com @chompie1337, a PoC teria mais suscetibilidade
ao sucesso na versão 1903 do Windows 10, afirmando que seu
código não seria 100% confiável. No entanto, para invasores em
potencial, a divulgação da PoC pode servir como base para ou-
tros exploits. É o que mostra o recente alerta emitido pela CISA,
com a divulgação dessa nova PoC, a agência norte americana
alerta para o risco de novas explorações e o surgimento de ver-
sões mais refinadas da PoC. A agência recomendou o bloqueio
em firewall de portas SMB voltadas à Internet e a aplicação de
patches de correção em caráter de urgência.
Novas vulnerabilidades no protocolo SMB
No último Patch Tuesday, a Microsoft emitiu correções para
129 vulnerabilidades em seus produtos, dentre elas outras três
vulnerabilidades relacionadas ao protocolo SMB também foram
corrigidas. Duas das falhas (CVE-2020-1206 e CVE-2020-1284)
existem na versão 3.1.1 do SMB (SMBv3) enquanto a terceira
(CVE-2020-1301) afeta a versão 1.0 do SMB (SMBv1).
6 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE

Enquanto os pesquisadores avaliavam a SMBGhost, outra vulnerabilidade foi encontrada no mecanismo de compactação do
SMBv3. Catalogada como CVE-2020-1206 e apelidada como SMBleed, a falha permite a atacantes não autenticados a leitura
remota da memória do kernel e a execução de ataques do tipo RCE se combinada com a vulnerabilidade SMBGhost. Ou seja, em
sistemas Windows cujo patch de correção para o SMBGhost ainda não tenha sido aplicado, a exploração do SMBleed resulta na
execução remota de código sem a necessidade de autenticação.

A falha afeta as versões 1903, 1909 e 2004 do Windows 10 e, assim como a SMBGhost, decorre da forma pela qual a função Srv-
2DecompressData lida com as solicitações de mensagens enviadas para um servidor SMBv3 de destino, permitindo que um inva-
sor remoto obtenha acesso não autorizado a informações confidenciais do sistema.

Duas provas de conceito para essa falha foram divulgadas por pesquisadores da ZecOps: a primeira explora a leitura de memória
do Kernel criando um arquivo local com o conteúdo da memória do computador de destino; a segunda explora a combinação da
falha com a SMBGhost para obter um shell reverso com acesso ao sistema.

A segunda falha (CVE-2020-1284) corrigida no último Patch Tuesday é uma vulnerabilidade de negação de serviço no SMBv3. Essa
falha pode ser explorada em um servidor autenticado ou em um cliente SMB. Para abusar da falha, um invasor autenticado precisa
enviar um pacote especialmente criado para um servidor SMB vulnerável. Para exploração em um cliente SMB, o invasor precisa
hospedar um servidor SMBv3 configurado com códigos maliciosos e direcionar o cliente a se conectar a ele.

A última brecha, é uma vulnerabilidade do tipo RCE na versão 1.0 do protocolo SMB (CVE-2020-1301) que afeta o Windows 7 e o
Windows 2008 e decorre da forma como o SMBv1 lida com solicitações. A exploração da falha é possível a um invasor autenticado
por meio do envio de um pacote especialmente criado para um servidor SMB de destino.

Segundo Satnam Narang, engenheiro de pesquisa da Tenable, essa vulnerabilidade “pode criar
​​ uma sensação de déjà vu” para out-
ra vulnerabilidade de execução remota de código no SMBv1, a famosa EternalBlue, vetor utilizado nos ataques do WannaCry em
2017 — a diferença entre as duas vulnerabilidades está na necessidade de autenticação para explorar a CVE-2020-1301 enquanto
a EternalBlue poderia ser explorada por um invasor não autenticado, aponta a Microsoft.

MITIGAÇÕES

Além das atualizações disponibilizadas no Patch Tuesday, a Microsoft publicou algumas soluções alternativas para aqueles
que de alguma forma não consigam aplicar as correções:

Servidor SMBv3

• Desativação da compactação SMBv3:

É possível desativar a compactação no servidor SMBv3 usando o seguinte comando do PowerShell para impedir invasores
não autenticados:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”

DisableCompression -Type DWORD -Value 1 -Force

Cliente SMBv3

• Bloqueio do tráfego SMB:

É possível bloquear o tráfego através de firewalls e outros métodos de segurança. As empresas podem simplesmente blo-
quear a porta TCP 445 no firewall do perímetro da empresa. A Microsoft alerta que o bloqueio da conectividade para SMB
pode impedir o funcionamento de vários aplicativos ou serviços.

REFERÊNCIAS
SMBGhost RCE Exploit Threatens Corporate Networks. ThreatPost. 08 Junho 2020 // Unpatched Microsoft Systems Vulnerable to CVE-2020-0796. CISA. 05 Junho
2020 // SMBleedingGhost Writeup: Chaining SMBleed (CVE-2020-1206) with SMBGhost. ZecOps. 09 Junho 2020 // Exploiting SMBGhost (CVE-2020-0796) for a Local
Privilege Escalation: Writeup + POC. ZecOps. 31 Março 2020 // Preventing SMB traffic from lateral connections and entering or leaving the network. Microsoft Support.
Março 2020 // New Windows 10 SMBv3 flaw can be used for data theft, RCE attacks. BleepingComputer. 10 Junho 2020 // Microsoft June Patch Tuesday Fixes 129
Flaws in Largest-Ever Update. 09 Junho 2020 // Nova vulnerabilidade de execução remota de comandos no protocolo Server Message Block v3. Situation Report.
Edição 130. 13 Março 2020 //
 7 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE

IBM corrige falhas críticas no WebSphere Application Server

Pedro Victor
As vulnerabilidades permitem a execução remota de código

A IBM publicou um boletim de segurança afirmando ter

corrigido três vulnerabilidades, duas das quais são conside-
radas críticas, na plataforma WebSphere Application Server
(WAS) – plataforma que desempenha a função de servidor
de aplicação para sistemas web baseados em Java. Segundo
a empresa, as falhas estão relacionadas com o processo de
desserialização e, quando exploradas, podem permitir a um
atacante executar código remotamente.

Desserialização

A serialização é o processo de transformar uma estrutura de

dados em um formato que possa ser comportado em mídias Processo de desserialização | Fonte: DataFlair
de armazenamento, interpretado por sistemas operacionais
ou transferido através de uma conexão de rede. Em outras
palavras, é o processo que converte uma estrutura binária
em um objeto que possa ser executado em um ambiente
REFERÊNCIAS
operacional. A desserialização é exatamente o processo Two Critical Remote Code Execution flaws fixed in IBM WebSphere. Security Affairs.
inverso a serialização. 09 Junho 2020 // Security Bulletin: WebSphere Application Server is vulnerable to a
remote code execution vulnerability (CVE-2020-4450). IBM. Junho 2020 // Security
Bulletin: Remote code execution vulnerability in WebSphere Application Server ND
(CVE-2020-4448). IBM. Junho 2020 // Security Bulletin: WebSphere Application
As falhas críticas (CVE-2020-4450 e CVE-2020-4448) ocorrem Server is vulnerable to an information exposure vulnerability (CVE-2020-4449). IBM.
Junho 2020.
devido a validação inadequada aplicada aos dados fornecidos
pelo usuário, podendo resultar na desserialização de dados
não confiáveis. A terceira vulnerabilidade (CVE-2020-4449,
CVSS 7,5) está relacionada com o protocolo IIOP e pode resul-
tar na execução de código com privilégios de root.

A vulnerabilidade CVE-2020-4448 permite a execução remota

de código no contexto de SYSTEM e pode ser explorada por
um atacante não autenticado. A segunda falha (CVE-2020-
4450) também permite a execução remota de código, no
entanto o problema reside especificamente na manipulação
do protocolo IIOP e ocorre devido a falta de validação dos
dados fornecidos pelo usuário, resultando na desserialização
de dados não confiáveis.

IIOP O Internet Inter-ORB Protocol (IIOP) é uma implementação

do General Inter-ORB Protocol (GIOP) para a estrutura TCP/
IP. GIOP é o protocolo responsável por permitir a comuni-
cação entre objetos dentro de uma infraestrutura de com-
putação distribuída baseada na arquitetura Common Object
Request Broker Architecture (CORBA).

A última vulnerabilidade (CVE-2020-4449), que também está

relacionada com a manipulação do protocolo IIOP, permite
que um invasor remoto obtenha informações sensíveis a
partir do envio de uma requisição maliciosa contendo um
conjunto de objetos serializados que serão interpretados
incorretamente pelo WAS.
Avon e Honda sofrem ciberataques
De acordo com a IBM, as versões 8.5 e 9.0 são afetadas pelas
vulnerabilidades e a CVE-2020-4448 também afeta o produ- Em notas a investidores publicadas ontem, a empresa brasileira de
to WebSphere Virtual Enterprise Edition. A empresa emitiu cosméticos Natura e a montadora Honda afirmaram que sofreram
patches de correção para todas as falhas, sendo altamente ataques cibernéticos. No caso da Honda, o incidente trouxe
impacto para a produção global. Já a Natura afirmou que sua
recomendável a sua implementação.
subsidiária, a Avon teve sua operação parcialmente interrompida.
 8 SITUATION REPORT | 12 JUNHO 2020
AMEAÇA

Identificada nova campanha do ransomware Avaddon

Threat Intelligence Team
A modalidade ransomware como serviço (RaaS) inclui publicidade, recrutamento de afiliados,
disseminação de spam e site de pagamento exclusivo

A equipe de Threat Intelligence da Tempest recentemente Criptografia de arquivos

identificou uma nova campanha baseada na disseminação
do ransomware conhecido como Avaddon contra alvos em
todo o mundo. O ransomware é distribuído no modelo ran-
somware as a service (RaaS), possui um articulado esquema
de recrutamento e afiliação de membros e uma plataforma de
pagamento com software de resgate exclusivo mantido pelos
desenvolvedores da ameaça.
A suposta imagem JPG anexada ao e-mail trata-se de um ar-
quivo compactado no formato ZIP contendo um script JS que
ao ser executado inicia um comando do PowerShell e o BIT-
SAdmin — utilitário do Windows projetado para transferência
de dados — para realizar o download do ransomware e, em
seguida, executá-lo no computador da vítima.

No dia 2 de junho, a Tempest identificou um anúncio publi-

cado no fórum russo Exploit.in por uma persona de nome
“Avaddon”. O autor divulga o serviço de ransomware que conta
com um programa de afiliados para distribuir uma ameaça até
agora não compartilhada em outras fontes.

O anúncio detalha algumas características do malware e do Fonte: Tempest

serviço como um todo que conta com suporte a 9 idiomas
(Inglês, Alemão, Francês, Italiano, Espanhol, Português, Chinês,
Japonês e Coreano) e oferece a possibilidade de personaliza-
ção exclusiva da ameaça para uso em ataques direcionados.
Aos afiliados que desejarem ingressar no programa oferecido
pelo Avaddon, cabe a tarefa de distribuição do ransomware e
o comprometimento de redes alvo. Para realizar essas ativida-
des, é oferecido aos afiliados cerca de 65% dos pagamentos
de resgate realizados pelas vítimas, cabendo aos operadores
do Avaddon aproximadamente 35% dos lucros.
Antes de iniciar a criptografia dos arquivos, o ransomware
desabilita o controle de conta do usuário (UAC) — recurso
do Windows que solicita credenciais ao ser solicitado ao
sistema o acesso de administrador. Em seguida, a cripto-
grafia é realizada em todos as unidades de disco rígido,
dispositivos removíveis e de rede, que são renomeados com
a extensão .avdn após serem criptografados. O Avaddon
gera uma chave aleatória para cada vítima utilizando o
algoritmo AES-256 em conjunto com uma chave RSA-2048
para criptografar os arquivos.

Em cada diretório o ransomware deixa um “ransom note” —

Campanha de spam
Dois dias após a descoberta do anúncio no fórum, os ho-
neypots da Tempest começaram a registrar e-mails de spam
distribuindo o ransomware Avaddon. A infecção tem início
com o envio de mensagens de phishing que apelam para
curiosidade do usuário e tentam persuadi-lo a fazer o down-
load de um suposto arquivo de imagem.
nota informativa de resgate — informando a vítima que seus
arquivos estão criptografados. A recuperação dos arquivos só
é possível mediante o software Avaddon General Decryptor
e para utilizá-lo é necessário pagar a quantia de 800 dólares
em Bitcoin. O resgate é conduzido através de uma plataforma
de pagamento acessível pela rede TOR desenvolvida pelos
operadores da ameaça. O ID de resgate exclusivo da vítima é
necessário para identificá-la.

A campanha distribui spam com assuntos (subjects) distin-

tos, como “Do you like my photo?”, “Do you know him?” e
“Photo for you”, enquanto o conteúdo do corpo do e-mail
carrega sempre a dupla de caracteres “;)”, que remete a um
rosto sorridente.

Campanha de spam do Avaddon | Fonte: Beeping Computer

Nota de resgate do Avaddon | Fonte: Tempest

9 SITUATION REPORT | 12 JUNHO 2020
AMEAÇA

Durante a pesquisa conduzida pela Tempest não foram

identificadas evidências de exfiltração de dados, no entanto,
a possibilidade desse recurso ser adicionado ao arsenal da
ameaça futuramente não é descartada.

IOCs
IP

217[.]8[.]117[.]63

URL

avaddonbotrxmuyl[.]onion

Carteira BTC

38eadHLNiM8AMTUVkpFffUzeMuP3HbHQAN

Arquivos

Filename: IMG123109.jpg.js.zip

MD5: b292bf6228f4ff9ba670e2126e737302

SHA1: 8f28491958360025b7037421fc75e8c4b6013672

SHA256: c74ad41a61201b0ef9626d8551f88e59deada1f07faf264a01c3cc75bd4c709b

Filename: IMG123109.jpg.js

MD5: 06072312768ba47c162d2aead14bb170

SHA1: 9bf8054554bec63f76d48cc6e887d29a11390c8c

SHA256: cc4d665c468bcb850baf9baab764bb58e8b0ddcb8a8274b6335db5af86af72fb

Filename: sava.exe

MD5: c9ec0d9ff44f445ce5614cc87398b38d

SHA1: 591ffe54bac2c50af61737a28749ff8435168182

SHA256: 05af0cf40590aef24b28fa04c6b4998b7ab3b7f26e60c507adb84f3d837778f2

Filename: 382058-readme.html

MD5: 7185c976ac1ed3e10191acb2d833221b

SHA1: 5a10c7116820a10ce685df0e9cd14dff99de1e4a

SHA256: cabb12b55d0e0e946c8e7f5b225c883dd2a9d77dafb909716da76d178637625d

REFERÊNCIAS
New Avaddon Ransomware launches in massive smiley spam campaign. BleepingComputer. 08 Junho 2020 //
Phorphiex/Trik Botnet Delivers Avaddon Ransomware. Zix/AppRiver. Junho 2020,
 ########_ _ _////_ _

_ Re c if e
+55 81 3419 0800

Rua da Alfândega, 35
Loja 216A - 1º Piso
Bairro do Recife / Recife - PE
50030-030

_ São P a u l o
+55 11 3419 6200

Av. Lavandisca, 777

Moema/São Paulo - SP
04515-011

_ Lond on
+44 203 818 3248

30 Dukes Place
London EC3A 7LP

_w w w . t e m p e s t . c o m . b r