Uma nova família de malware com aparente ligação ao famigerado ransomware Ryuk foi descoberta, com a diferença que, ao invés de criptografar arquivos, ela visava alvos governamentais, militares e financeiros. A Trend Micro identificou esta ameaça como sendo Ransom.Win32.RYUK.THIABAI e proativamente a detecta como Troj.Win32.TRX.XXPE50FFF031 por meio do machine learning presente nas soluções da Trend Micro.
Descoberta e analisada pelo pesquisador Vitali Kremez, este malware executa um scan recursivo (conferindo repetidamente se arquivos, diretórios e subdiretórios foram modificados por meio do registro temporal) e busca arquivos DOCX e XLSX para roubar. Este malware também conta com strings para colocar certos arquivos em blacklists, incluindo alguns relacionados ao Ryuk, como o RyukReadMe.txt, o qual costuma trazer o pedido de resgate, e arquivos com a extensão .RYK, que o malware anexa depois de criptografar um arquivo. Pesquisadores do MalwareHuntingTeam também analisaram um computador infectado que apresentava as mesmas rotinas de escaneamento e subtração de dados.
[Resumo semestral de segurança – saiba quais os perigos que estão por aí]
Se o arquivo não está na blacklist, o malware então confere se ele é um arquivo válido de Word ou Excel. Ele é checado várias vezes antes de ser enviado ao FTP do invasor. O arquivo é comparado com a lista de 77 strings do malware, que incluem “tanque”, “defesa”, “militar”, “secreto”, “clandestino”, “infiltrado” e “federal”, entre outros. O malware também busca por arquivos que tenham algum dos seguintes nomes: “Emma”, “Isabella”, “James”, “Liam”, “Logan”, “Noah”, “Olivia”, “Sophia” e “William”. Kremez e outros pesquisadores deduziram que estes nomes estão entre os mais populares para os nascidos em 2018, no banco de dados do Serviço de Segurança Social americano.
Os pesquisadores também notaram algumas semelhanças interessantes com o Ryuk. Primeiramente, o malware tem uma função que cria um arquivo que é anexado junto com a extensão .RYK, mas isso não está ativo no malware. Ele também vasculha o ambiente em busca de um software de segurança. “Isso pode ser um indício de que o criador é alguém que teve acesso ao código-fonte do Ryuk e que simplesmente fez um ctrl-c/crtl-v no código e modificou para seu propósito”, afirmou Vitali para o BleepingComputer, que divulgou a descoberta.
[Trend Micro Research: A Closer Look at the Ryuk Ransomware]Este reaproveitamento de outras ameaças não é novidade, graças à sua disponibilidade em repositórios públicos (seja como prova de conceito ou para teste de penetração) e nos canais de venda do submundo. A família de ransomware CrypMIC, por exemplo, tenta imitar o conhecido CryptXXX usando o mesmo pedido de resgate e as interfaces na página de pagamento. Fato similar ocorreu com o ransomware Sodinokibi, que assumiu o lugar do ransomware-as-a-service (RaaS) Grandcrab. Quando se tornou conhecido, o próprio LockerGoga tinha semelhanças com o Ryuk.
Esta nova ameaça, contudo, é conhecida por sua especificidade de alvos – por exemplo, informações confidenciais das forças armadas, investigação criminal, finanças e bancos. E dada a capacidade de disseminação deste malware para outros sistemas, uma abordagem de defesa em profundidade é fundamental. Por exemplo, o malware consegue escanear a tabela do protocolo de resolução de acesso (ARP) do computador infectado, onde estão os IPs dos outros computadores da rede local, o que permite que invasores instalem malware em outras máquinas para maximizar o roubo dos arquivos.
Veja algumas boas práticas que as organizações podem adotar para se protegerem contra ameaças de roubo de informações:
- Atualizar e aplicar patches regularmente nos sistemas, redes e servidores para remover vulnerabilidades exploráveis (ou aplicar virtual patching para sistemas e programas legados e embutidos);
- Fazer valer o princípio do mínimo privilégio, desabilitando ou restringindo o uso de ferramentas, programas ou componentes normalmente exclusivos de admins;
- Conscientizar os colaboradores sobre segurança, especialmente com relação a ataques de engenharia social, que podem levá-los a instalar malware inadvertidamente;
Utilizar mecanismos extras de segurança, como controle de aplicações, o qual bloqueia executáveis suspeitos e desconhecidos, assim como firewalls e sistemas de IPS para bloqueio de tráfego malicioso.
As soluções da Trend Micro, como a Smart Protection Suites e o Worry-Free Business Security têm recursos de análise comportamental e podem proteger usuários e organizações contra as ameaças analisadas, detectando arquivos, scripts e mensagens, além de bloquear URLs maliciosos. A segurança Trend Micro XGen™ traz técnicas multigerações de defesa que protegem data centers, nuvens, redes e endpoints contra uma ampla gama de ameaças. Ela alia machine learning de alta fidelidade com outras tecnologias e com uma rede global de ameaças para uma proteção sólida contra malwares avançados.