Geral 2min de Leitura

RansomEXX: Trojan criado pelos cibercriminosos para sistemas Linux

Código binário formando o desenho de uma caveira.

This post is also available in: Português

Cibercriminosos criam Trojan RansomEXX com versão exclusiva para Linux. O Trojan já existia, porém, era exclusivo do Windows. Essa nova ameaça vai facilitar as invasões direcionadas aos sistemas Linux.

Descoberto pela empresa de segurança Kasperky, no início de junho, o RansomEXX é um Trojan altamente direcionado. Cada amostra do malware contém um nome codificado da organização da vítima.

Além disso, tanto a extensão do arquivo criptografado quanto o endereço de e-mail para contato fazem uso do nome da vítima.

O ransomware foi usado em ataques contra o departamento de transportes do Texas, Konica Minolta, a empreiteira do governo dos Estados Unidos, Tyler Technologies, o sistema de transporte público de Montreal e, mais recentemente, o Superior Tribunal de Justiça (STJ), do Brasil.

O ataque utilizando RansomEXX

O RansomEXX é um “caçador de grandes jogos” ou “ransomware operado por humanos”, como os pesquisadores de segurança digital gostam de chamar. Os dois termos são utilizados para descrever grupos de ransomware que perseguem grandes alvos, em busca de somas expressivas de resgate.

Eles jogam com o fato de que algumas empresas ou agências governamentais não podem se dar ao luxo de ficar parados enquanto recuperam seus sistemas.

Os pesquisadores da Kaspersky disseram que o Trojan implementa o esquema criptografado usando funções da biblioteca de código aberto mbedtls.

Assim que iniciado, o Trojan gera uma chave de 256 bits e a usa para criptografar todos os arquivos pertencentes à vítima, que podem ser acessados usando a cifra de bloco AES no modo ECB. A chave AES é criptografada por uma chave pública RSA-4096 embutida no corpo do Trojan e anexada a cada arquivo criptografado.

Além disso, o malware lança um thread que regenera a criptografia a cada 0,18 segundos.

Além de criptografar os arquivos e deixar notas de resgate, a amostra não tem nenhuma das funcionalidades adicionais que outros agentes de ameaças tendem a usar em seus Trojans. Não há nenhuma comunicação C&C, nenhum encerramento de processos em execução e nenhum truque de anti análise.

Os grupos compram o acesso ou violam as redes, expandem o acesso ao maior número de sistemas possível. Depois, implantam manualmente seu binário de ransomware como carga útil final para prejudicar o máximo possível da infraestrutura do alvo.

Porém, houve uma mudança no modo de atuação desses grupos no último ano. Muitas gangues de ransomware perceberam que atacar primeiro as estações de trabalho não é um negócio muito lucrativo, já que as empresas tendem a recuperar os sistemas afetados e seguir em frente sem pagar resgates.

Os operadores têm se preocupado em visar servidores cruciais dentro da rede de uma empresa, pois eles sabem que derrubando esses sistemas primeiro, as empresas não seriam capazes de acessar seus dados. Isso ocorre mesmo que as estações de trabalho estejam intactas.

Os ataques estão ficando cada vez mais sofisticados e mirando todos os sistemas. É necessário redobrar os cuidados, atenção, instruir os colaboradores e ter sempre boas ferramentas de segurança para que sua empresa não seja prejudicada.

Via: The Register.

This post is also available in: Português