Quinzenalmente, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.
A última edição do Ransomware Roundup, referente ao mês de abril e maio, destaca o UNIZA, Kadavro Vector, Maori como os ataques de ransomware emergentes. No que consistem, qual o impacto e como funcionam?
UNIZA
· Visão geral
A FortiGuard Labs deparou-se recentemente com uma nova variante de ransomware chamada UNIZA. Como outras variantes de ransomware, criptografa arquivos nos equipamentos das vítimas numa tentativa de extorquir dinheiro. Utiliza a janela do Prompt de Comando (cmd.exe) para exibir a sua mensagem de resgate e, curiosamente, não anexa o nome dos ficheiros que encripta, tornando mais difícil determinar quais os ficheiros que foram afetados.
· Vetor de infeção
As informações sobre o vetor de infeção utilizado pelo agente de ameaça do ransomware UNIZA não estão atualmente disponíveis. No entanto, o vetor de ataque provável é através de email, uma vez que muitas variantes de ransomware são distribuídas dessa forma. No momento desta investigação, não há indicação de que o ransomware UNIZA esteja disseminado.
· Execução
O ransomware UNIZA encripta ficheiros em equipamentos comprometidos e exige o pagamento de um resgate para recuperar os ficheiros afetados. Esta variante visa todos os diretórios e ficheiros encontrados em %userprofile% e no Ambiente de Trabalho para encriptação de ficheiros.
Em vez de deixar uma nota de resgate, lança o Prompt de Comando e a nota de resgate aparece gradualmente como se o atacante estivesse a escrever a mensagem remotamente. Isto pode ser uma tática de medo para fazer as vítimas acreditarem que o atacante pode controlar remotamente o seu equipamento.
A mensagem de resgate pede às vítimas que contactem o atacante através do TikTok e exige 20 Euros em Bitcoin. No momento desta análise, a wallet Bitcoin do atacante não registou uma única transação, o que significa que ainda não existiu nenhuma vítima deste ransomware. Saiba mais aqui.
Kadavro Vector
· Visão geral
A FortiGuard Labs deparou-se recentemente com um ransomware denominado de "Kadavro Vector", uma variante do ransomware NoCry, que encripta ficheiros em equipamentos comprometidos e exige um resgate em criptomoeda Monero (XMR) para a desencriptação do ficheiro.
· Vetor de infeção
As variantes recentes do ransomware Kadavro Vector são distribuídas como um falso instalador do browser Tor e incluem um ícone chamado "torbrowser-install-win64-12.0.4_ALL.exe".
· Execução
Quando o ransomware Kadavro Vector é executado, encripta os ficheiros nos equipamentos comprometidos e acrescenta-lhes uma extensão ".vector_".O ransomware Kadavro Vector lança então uma nota de resgate interativa no ambiente de trabalho da vítima e exige $250 de Monero para a desencriptação do ficheiro. Embora a nota de resgate esteja disponível em inglês e russo, ao rodar revela que também está disponível em norueguês – significa, possivelmente, que o atacante está a visar principalmente regiões onde esses idiomas são utilizados. Até à data, os envios públicos de amostras do ransomware Kadavro Vector foram feitos a partir dos EUA, Rússia e Cazaquistão.
Ao clicar em "mostrar ficheiros encriptados" aparece uma janela pop-up com uma lista dos ficheiros que o ransomware encriptou – possivelmente para aumentar a pressão sobre as vítimas, mostrando o número de ficheiros afetados que não serão recuperados a menos que seja pago um resgate.Outra janela pop-up com o endereço de email do atacante é apresentada ao clicar em "contacte-nos". Saiba mais aqui.
Maori
· Visão geral
A FortiGuard Labs deparou-se recentemente com uma nova variante de ransomware chamada Maori. Tal como outras variantes de ransomware, encripta os ficheiros nos equipamentos das vítimas para extorquir dinheiro. Curiosamente, esta variante foi concebida para ser executada na arquitetura Linux e está codificada em Go, o que é algo raro e aumenta a complexidade de análise.
· Vetor de infeção
As informações sobre o vetor de infeção utilizado pelo agente de ameaça do ransomware Maori não estão atualmente disponíveis. No entanto, não é provável que seja significativamente diferente de outros grupos de ransomware, sendo que na altura desta análise não há indicação de que o Maori esteja generalizado.
· Execução
O Maori tem como alvo todos os ficheiros do utilizador no seu diretório pessoal (Linux; "/home/<nome de utilizador>"), mas ignora os ficheiros colocados noutros locais (incluindo os que estão apenas no diretório "/home/" ou noutros diretórios do sistema Linux, como "/"). Uma vez que tem um objetivo muito restrito, ataca muito rapidamente –após a conclusão, o executável Maori apaga-se do equipamento da vítima.
Todo o conteúdo de cada ficheiro afetado é encriptado, em vez de apenas o suficiente para o tornar inutilizável. Posteriormente, é depositada uma nota de resgate em cada diretório com ficheiros encriptados. A nota pede à vítima para entrar em contacto através do Tox (uma aplicação de mensagens encriptadas peer-to-peer, end-to-end). Também fornece um endereço de email onionmail como método de comunicação backup e cadeias de caracteres únicas para ambos, como forma de identificação. Não é indicado qualquer montante como valor do resgate. Saiba mais aqui.