Descoberto o CryptXXX, descendente do ransomware Reveton

Um novo estilo de ransomware foi descoberto recentemente, que começou a aparecer desde o final de março. Na segunda-feira, pesquisadores da Proofpoint, juntamente com informações do analista Frank Ruiz, descobriram um novo ransomware chamado “CryptXXX”, que foi descrito como tendo uma total conexão com o Reveton, um tipo de ransomware descoberto antes.

Esse ransomware é propagado pelo malware BEDEP, após uma infecção de sistema causada pelo Angler Exploit Kit (EK). Na postagem do blog, os pesquisadores descreveram “um Angler EK no BEDEP passa baixando uma carga de ransomware e o Dridex 222”. Isso quer dizer que as páginas hospedando o exploit kit Angler estavam distribuindo o CryptXXX. O kit então se aproveita das vulnerabilidades de um sistema para forçar o download do BEDEP. Dados a sua capacidade de “baixar malware”, o CryptXXX chega como uma segunda fase de infecção – enviada como uma execução atrasada DDL, que espera pelo menos 62 minutos para iniciar. Depois da execução do ransomware, ele criptografa os arquivos do sistema infectado e adiciona uma extensão .crypt ao nome do arquivo.

Do mesmo modo que outras famílias de malware, especialmente o Locky, TeslaCrypt e Cryptowall, essa variante cria três tipos de arquivos (de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html) para sinalizar e notificar a vítima que o sistema foi comprometido e exigir o pagamento de um resgate para recuperar o acesso aos arquivos. Segundo os pesquisadores, o ransomware exige o resgate muito elevado de $500 dólares por sistema – bem mais que os pagamentos comuns de resgate vistos no passado. Além disso, o CryptXXX evita a detecção por meio de suas “funções anti-VM e anti-análise”, checando o nome da CPU no registro e instalando um procedimento chamado de gancho para monitorar a atividade do mouse.

Foi descoberto também que o CryptXXX possui a habilidade de roubar Bitcoins, além de coletar credenciais e outras informações pessoais de seu alvo. Os pesquisadores da Trend Micro descobriram que ele consegue roubar dados de FTP, mensagens instantâneas e aplicações de email. De acordo com a postagem do blog, “Estamos esperando isso porque essa instância do BEDEP é famosa por baixar ladrões de informações em seu stream. Especificamente, ele baixou o Pony de novembro de 2014 até meados de dezembro de 2015. Ele substituiu o Pony por um “ladrão privado” não documentado até a metade de março de 2016. Acreditamos que as funções de roubo de informações desse ransomware são as mesmas do “ladrão privado” distribuído por essa instância do BEDEP”.

A conexão com o Reveton

Baseado principalmente na análise de pesquisadores do vetor de infecção e seu histórico, foi estabelecido que o CryptXXX está significativamente ligado ao grupo que opera o Angler e o BEDEP. Também foi relatado que o nome do ransomware foi baseado em duas sequências contendo os caracteres XXX que são conhecidos por ser o nome real do exploit kit Angler, cujos idealizadores também são conhecidos por estar por trás do Cool EK e do Reveton.

Apesar das investigações e análise do CryptXXX ainda estarem em andamento, os pesquisadores que o descobriram estão levantando uma bandeira vermelha sobre seu potencial impacto de disseminação. Outras variantes que surgiram mais recentemente podem não ter obtido um impacto alarmante porque as mentes menos experientes e menos habilidosas por trás delas. O CryptXXX não parece ser apenas uma ameaça passageira.

A postagem diz, “Dada a longa história de sucesso e a distribuição em larga escala do Reveton, esperamos que o CryptXXX tenha se generalize.” Além disso, como o Angler EK tem o número mais alto em termos de volume, ele pode causar mais se bandidos experientes puserem as mãos nessa forma de ataque, semelhante ao modo como o Locky causou alvoroço quando atingiu vários setores.

O cenário de ransomware atual evoluiu muito, das aparições iniciais da propagação de ameaças vazias ao desenvolvimento de um letal malware criptografador de dados que bloqueia arquivos e sistemas. Muito mais recentemente, a contínua onda de variantes de ransomware mais novas e mais sofisticadas forçou as autoridades a fortalecer seus esforços no combate à epidemia atual de ransomware.

As soluções de endpoint da Trend Micro como as Trend Micro™ Security, Smart Protection Suites e Worry-Free™ Business Security podem proteger usuários e empresas contra essa ameaça. Políticas de senhas rigorosas e desabilitar o carregamento automático de macros nos programas Office, juntamente com cronogramas de patching regulares também estão entre as maneiras testadas para manter longe os ransomware. E, apesar da tentativa dessa ameaça de inutilizar os backups de arquivos, ainda é uma defesa eficaz. Além disso, o Trend Micro™ Deep Security fornece uma segurança de servidores avançada para servidores físicos, virtuais e em nuvem. Ele protege aplicações e dados empresariais contra violações e interrupções sem a necessidade de patching emergenciais. Essa plataforma abrangente e centralmente gerenciada ajuda a simplificar as operações de segurança, possibilitando a conformidade regulatória e o ROI de projetos de virtualização e nuvem.

Categorias

Veja outras publicações

Menu