Todos os meses, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.
A última edição do Ransomware Roundup, referente ao mês de março, refere o Dark Power e o PayME100USD; HardBit 2.0; e Sirattacker e ALC como os ataques de ransomware emergentes. No que consistem, qual o impacto e como funcionam?
Dark Power
· Visão geral
Este é um ransomware relativamente recente, tendo sido lançado no início de fevereiro de 2023. Trata-se de uma variante de ransomware rara na medida em que foi escrita na linguagem de programação Nim.
· Vetor de infeção
A informação sobre o vetor de infeção utilizado não está atualmente disponível. Contudo, não é provável que difira significativamente de outras variantes de ransomware.
· Execução
Após os ficheiros serem encriptados, o Dark Power deixa uma nota de resgate como "readme.pdf" (imagem abaixo). A nota de resgate ameaça os utilizadores de que, a menos que enviem 10.000 USD de moeda criptográfica Monero (XMR) para a carteira do atacante no prazo de 72 horas, os seus ficheiros encriptados serão perdidos para sempre. Saiba mais aqui.
PayMe100USD
· Visão geral
É um novo ransomware escrito em Python, que foi identificado em março de 2023. O malware tem uma funcionalidade básica e executa atividades normais de ransomware.
· Vetor de infeção
As samples de ransomware PayMe100USD que a FortiGuard Labs identificou têm um logotipo Microsoft Bing e o ficheiro tem o nome de "newbing.exe". Como tal, o ransomware foi possivelmente distribuído através de instaladores de Bing falsos.
· Execução
Uma vez executado, este encripta os ficheiros nas drives D, E, e F e o diretório do utilizador na unidade C, além de adicionar uma extensão de ficheiro ".PayMe100USD" aos ficheiros afetados.
Este ransomware deixa então oito notas de resgate, com o nome "PayMe 1.txt" para "PayMe 8.txt". Embora o último número nos nomes dos ficheiros seja diferente, todas as notas de resgate são idênticas. Nestas notas, pedem às vítimas que paguem 100 USD em Bitcoin dentro de 48 horas para recuperar os ficheiros afetados e para impedir que os dados alegadamente roubados sejam vendidos na dark web. Saiba mais aqui.
HardBit 2.0
· Visão Geral
O HardBit já existe, pelo menos, desde outubro de 2022, tendo a atual versão 2.0 sido lançada pouco depois, em novembro de 2022. Como é comum atualmente, este aproveita a técnica de "dupla extorsão" de encriptar os ficheiros dos utilizadores para obter um resgate e, em seguida, retroceder a essa ação com uma ameaça de divulgar informações e dados sensíveis se o resgate não for pago.
· Vetor de infeção
A informação sobre o vetor de infeção utilizado não está atualmente disponível. Contudo, não é provável que difira significativamente de outras variantes de ransomware.
· Execução
Após a execução, o HardBit 2.0 encerra processos e serviços para retardar a potencial deteção das suas atividades. Em seguida, encripta ficheiros de interesse e renomeia-os para algo aleatório seguido de [id-XXXX].[e-mail de contacto].hardbit2.
A nota de resgate contém uma explicação do que aconteceu, uma garantia de recuperação se o pagamento for efetuado, e endereços de e-mail para contactar o atacante. Muito curiosamente, não há preço especificado no resgate, garantindo que uma vítima terá de contactar o agressor para negociar. Saiba mais aqui.
Sirattacker
· Visão Geral
O Sirattacker é uma das últimas variantes do ransomware Chaos. Foi lançado pela primeira vez em meados de fevereiro de 2023. Existem várias versões do ransomware Chaos disponíveis em redes Dark Web, que permitem a qualquer pessoa gerar o ransomware Chaos com configurações personalizadas.
· Vetor de infeção
Este ransomware é possivelmente distribuído como uma aplicação de mineração Ethereum porque todas as samples incluem um ícone de ficheiro Ethereum, e algumas são mesmo chamadas de "ETH [número de 3 dígitos].exe".
· Execução
Uma vez executado, este encripta ficheiros nos equipamentos dos utilizadores e adiciona extensões aleatórias de ficheiros de quatro letras aos seus nomes de ficheiro. Sabe-se que as variantes mais antigas do ransomware Chaos sobrescrevem ficheiros maiores que 2.117.152 bytes com bytes aleatórios, o que torna impossível a recuperação de ficheiros (a menos que os ficheiros afetados sejam devidamente copiados). Em alguns casos, os atacantes exigem o pagamento de um resgate, sabendo que a maioria dos ficheiros são irrecuperáveis. Saiba mais aqui.
ALC
· Visão Geral
O ALC é um ransomware recente. É conhecido por uma mensagem dirigida à "Rússia e a sua contraparte" na sua nota de resgate. A FortiGuard Labs analisou o ransomware e descobriram que é muito mais do que se pode imaginar.
· Vetor de infeção
A informação sobre o vetor de infeção utilizado não está atualmente disponível. Contudo, não é provável que difira significativamente de outras variantes de ransomware.
· Execução
Uma vez executado, o ALC cria vários ficheiros no ambiente de trabalho do equipamento da vítima. A nota de resgate pede ao utilizador para contactar o atacante através do Telegrama, uma aplicação de mensagens instantâneas encriptadas popular entre os cibercriminosos. Contudo, nenhuma informação de contacto ou preço de resgate é fornecida na nota. Saiba mais aqui.
