Relatório Ransomware: Surgem Avaddon e Técnicas Novas, Setor Industrial é Alvo

Nos últimos meses, o ransomware permaneceu como uma ameaça formidável, à medida que novas famílias, técnicas e metas continuam surgindo a todo momento. Recentemente, testemunhamos o surgimento da nova família de ransomware Avaddon. Também examinamos as técnicas utilizadas por algumas variantes de ransomware e os setores afetados por esses ataques; além disso, incluímos nossos dados mais recentes sobre famílias com mais detecções, novas famílias de ransomware e os setores e segmentos mais afetados.

 

Ransomware Avaddon

O novo ransomware chamado Avaddon (detectado pela Trend Micro como Ransom.Win32.AVADDON.YJAF-A) foi observado sem controle. Um trojan (detectado pela Trend Micro como Trojan.JS.AVADDON.YJAF-A) baixa o ransomware de sites maliciosos e os executa no sistema. Isso foi relatado em uma série de postagens no Twitter por TMMalAnalyst.

O ransomware é propagado via e-mails com um anexo de nome IMG{6 números aleatórios}.jpg.js.zip que contém um arquivo JavaScript chamado IMG{6 números aleatórios}.jpg.js.

Figura 1. E-mail de amostra para a campanha Avaddon

Como visto na figura anterior, o corpo do e-mail contém um único smiley. Os e-mails da campanha Avaddon também seguem os passos de campanhas anteriores de malware que usam temas específicos a fim de despertar a curiosidade dos usuários, levando-os a abrir a mensagem e baixar o anexo. A maior parte desses e-mails tem assuntos relacionados a fotos, o que pode ser bem atraente para os usuários em um momento cujos dispositivos com câmeras integradas se tornam amplamente disponíveis:

  • Olha para esta foto!
  • Foto só para você
  • Você ficou bem nessa
  • Eu amo essa foto
  • Eu gosto desta foto
  • Essa foto é sua?
  • É você?
  • Minha foto favorita
  • Você gosta dessa foto?

Depois que o anexo é baixado e executado, ele usa um comando do PowerShell e a ferramenta de linha de comando BITSAdmin para baixar e executar a payload do ransomware. Depois disso, os usuários afetados verão que ele criptografou os arquivos e os anexou com a extensão .avdn. Os usuários verão que o wallpaper da área de trabalho do sistema foi alterado automaticamente para uma imagem que afirma que “todos os seus arquivos foram criptografados” e se refere à nota de resgate: “Instruction 270015-readme.html” (seguindo o formato {Encrypted Directory}\{random numbers}-readme.html):

 

Figura 2. Wallpaper do usuário modificado pelo ataque do Avaddon

A nota de resgate fornece instruções sobre como o usuário afetado pode recuperar os arquivos criptografados.

 

Figura 3. Nota de resgate do Avaddon

Este ransomware criptografa arquivos encontrados nas seguintes pastas:

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

Ele adiciona os seguintes processos que excluem cópias de backup do sistema, tornando difícil a restauração:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

Ele finaliza serviços e processos, muitos dos quais relacionados à varredura, armazenamento e recuperação de arquivos e agendamento de tarefas. Abaixo estão alguns exemplos:

Serviços encerrados:

  • ccEvtMgr
  • ccSetMgr
  • Culserver
  • dbeng8
  • dbsrv12
  • DefWatch
  • Intuit.QuickBooks.FCS
  • msmdsrv
  • QBCFMonitorService
  • QBIDPService

Processos finalizados:

  • 360doctor.exe
  • 360se.exe
  • axlbridge.exe
  • BCFMonitorService.exe
  • Culture.exe
  • Defwatch.exe
  • fdhost.exe
  • fdlauncher.exe
  • GDscan.exe
  • httpd.exe

Ele finaliza automaticamente se o Windows Locale ID for igual ao seguinte:

  • 419 = Russo
  • 422 = Ucraniano

Ele termina automaticamente se a máquina estiver configurada para o seguinte idioma de layout do teclado:

  • 419 = Russo
  • 485 = Yakut (Rússia)
  • 444 = Tártaro
  • 422 = Ucraniano

Vale mencionar que a técnica de evitar sistemas de países específicos também foi observada nas campanhas de ransomware MedusaLocker. 

Para ver a lista completa de processos e serviços e para conseguir mais detalhes sobre o ransomware, por gentileza consulte nosso relatório.

 

Novas técnicas detectadas

Nos últimos meses, também houve atualizações sobre as técnicas usadas por algumas variantes de ransomware. Por exemplo, o Netwalker ransomware agora pode ser executado fileless através da injeção reflexiva da dynamic-link library (DLL) injection (também conhecida como carregamento reflexivo da DLL). Essa técnica injeta a DLL da memória e ao invés do disco. Embora a técnica em si não seja nova (foi usada anteriormente para implantar o ransomware ColdLock), seu uso pelo Netwalker é novo.

Outro desenvolvimento notável é a implantação de máquinas virtuais por Ragnar Locker para evitar a detecção por software antivírus. Segundo a Sophos, esse vetor de ataque nunca foi usado com nenhum tipo de ransomware antes. No passado, o Ragnar Locker explorava provedores de serviços gerenciados ou ataques a conexões Windows Remote Desktop Protocol (RDP).

 

Setores de manufatura, logística e energia como alvos das variedades de Ransomware

As variedades de ransomware foram usadas para atingir várias empresas nos setores de manufatura, logística e energia nos últimos meses. Uma variante do ransomware Ekans (detectada pela Trend Micro como Ransom.Win32.EKANS.D) foi utilizada em ataques direcionados contra empresas de manufatura. Conforme observado por Dragos, há um nível específico de intencionalidade que é evidente nos processos industriais encerrados nos ataques anteriores dos Ekans, tornando-os uma ameaça que as organizações com sistemas de controle industrial (ICS) devem ficar de olho aberto.

O Nefilim, um ransomware que segue a tendência recente dos tipos de ransomware que não apenas criptografam arquivos, como também roubam dados, foi visto atacando empresas de logística. As investigações sobre esses ataques nos levaram a descobrir mais sobre o comportamento do ransomware recentemente encontrado, principalmente em relação aos recursos de roubo de dados. Notamos que esse tipo de roubo começa semanas ou até meses antes de sua implantação e que os ataques se utilizam de várias ferramentas (maliciosas e não maliciosas) para introduzir processos e mover-se pela rede.

Em notícias relacionadas, os operadores por trás de Sodinokibi publicaram, em uma página do Tor, 1.280 arquivos do que eles afirmam ser detalhes de passaporte e outros documentos da equipe de um fornecedor de serviços elétricos. Algumas semanas antes disso, o ataque de ransomware atingiu a empresa, interrompendo, dessa forma, suas operações.

Em contrapartida, outro ransomware que apelidamos de ColdLock tinha como alvo uma região, ao invés de apenas um setor específico. Especificamente, lançou ataques a organizações de Taiwan, com o objetivo de segmentar bancos de dados e servidores de e-mail para criptografia.

 

Dados de Ransomware para maio

Em maio, o WannaCry figurou como a principal família de ransomware, com 15.496 detecções. A continuação dele no topo da lista de detecções pode ser atribuída ao componente worm e à persistência de seus operadores na tentativa de propagar o malware regularmente. Prevemos que o WannaCry continuará a ter um número tão alto de detecções até que um novo e ainda mais impactante ransomware surja, ou que suas fontes sejam encontradas e removidas.

Logo atrás estão Locky com 1.532 detecções e Cerber com 392. De fato, essas famílias de ransomware estão constantemente entre as três principais desde janeiro deste ano. Eles também estavam entre os três primeiros nas detecções totais de ransomware do ano passado.

Figura 4. Famílias de ransomware com mais detecções (maio de 2020)

No mesmo mês, os setores com maior número de detecções foram governo (1.870), manufatura (1.599) e assistência médica (1.217).

Figura 5. Principais setores para detecção de ransomware (maio de 2020)

Para segmentos, o empresarial teve o maior número de detecções, com mais de 18.000. Enquanto isso, as detecções no segmento de consumidores somavam mais de 4.000, em comparação com mais de 1.000 detecções em pequenas e médias empresas (SMB).

Figura 6. Principais segmentos para detecções de ransomware (maio de 2020)

Quanto às famílias de ransomware, quatro novas foram detectadas em maio. Um deles é o BlueCheeser (detectado pela Trend Micro como Ransom.MSIL.BLUECHEESER.A), um ransomware que anexa arquivos criptografados com a extensão .himr e instrui os usuários afetados a pagar US$ 400 para descriptografar arquivos.

Outro é o CoronaLock (detectado pela Trend Micro como Ransom.Win32.CORONALOCK.A), também conhecido como CovidWorldCry. Este ransomware, propagado por spam com tema de coronavírus, renomeia os arquivos criptografados com a extensão .corona.lock. Em terceiro lugar, o PonyFinal (detectado pela Trend Micro como Ransom.Java.PONYFINAL.A) é um ransomware operado por humanos, baseado em Java e voltado para os sistemas da Microsoft. Por fim, o GonnaCry (detectado pela Trend Micro como Ransom.Linux.GONNACRY.A) é um ransomware voltado para sistemas Linux. Comparado com as detecções em abril, o número de novas famílias de ransomware detectadas diminuiu.

Figura 7. Número de novas famílias de ransomware (janeiro a maio de 2020)

 

Defesa robusta contra ransomware

Operações interrompidas, perda de dados e publicação de dados confidenciais da companhia são algumas das maneiras pelas quais um ataque de ransomware pode colocar uma empresa em risco. No entanto, elas ainda podem encontrar maneiras de proteger suas organizações contra esses ataques.

Aqui estão algumas das práticas recomendadas para os usuários protegerem sistemas contra ransomware:

  • Faça backup dos arquivos usando a regra 3-2-1. Essa regra envolve a criação regular de três backups em dois formatos diferentes e o armazenamento de uma cópia fora do local.
  • Periodicamente corrija e atualize aplicações e software. Isso garante que as vulnerabilidades sejam resolvidas. Para vulnerabilidades zero-day, implante o virtual patching.
  • Ative a análise de sandbox. Com isso, arquivos maliciosos podem ser executados em um ambiente isolado. Portanto, esses arquivos podem ser monitorados sem colocar o sistema em risco.
  • Ative recursos avançados de detecção para novas famílias de ransomware, como machine learning ou tecnologias de monitoramento de comportamento em suas soluções.

Aqui estão algumas soluções de segurança recomendadas contra ransomware:

 

Indicadores de comprometimento

Ransomware Avaddon
SHA-256 Detecção de padrões Trend Micro Detecção de machine learning Trend Micro
f3f4d4e4c6704788bc8954ca6f6ddc61b006aba89d5d384794f19424a3d24132 Ransom.Win3 Ransom.Win32.AVADDON.YJAF-A Troj.Win32.TRX.XXPE50FFF036
6616abb725c24307f4f062996edc5150079bc477acd4236a4f450e5835a20c62 Ransom.Win32.AVADDON.YJAF-A Troj.Win32.TRX.XXPE50FFF036
4f198228806c897797647eecce0f92d4082476b82781183062a55c417c0bb197 Ransom.Win32.AVADDON.YJAF-A Troj.Win32.TRX.XXPE50FFF036
05af0cf40590aef24b28fa04c6b4998b7ab3b7f26e60c507adb84f3d837778f2 Ransom.Win32.AVADDON.YJAF-A Troj.Win32.TRX.XXPE50FFF036
b8d6fd333973adb640649cab8c9e7575a17b5a8bc382e3335400d43a606a6253 Trojan.JS.AVADDON.YJAF-A Não aplicável
a481d2b64c546f68d55e1fd23e57ada80b6b4e2c3dd7b0466380dba465f3d318 Trojan.JS.AVADDON.YJAF-A Não aplicável
5a47a89a870d7db244c76da43887e33c9ee4b26f9972878b1a6616be0302439f Trojan.JS.AVADDON.YJAF-A Não aplicável
12bc439445f10a04b574d49ed8ccc405e2dfaa493747585439643e8a2129e5e5 Trojan.JS.AVADDON.YJAF-A Não aplicável
cc4d665c468bcb850baf9baab764bb58e8b0ddcb8a8274b6335db5af86af72fb Trojan.JS.AVADDON.YJAF-A Não aplicável
ea93ce421be8a2eba34752b8e8da4d241d671ef808a0f8e55a04ceca8ad5113f Trojan.JS.AVADDON.YJAF-A Não aplicável

 

URLs
  • hxxp://217.8.117.63/jpr.exe
  • hxxp://217.8.117.63/sava.exe
  • hxxp://myphotoload.com/photo.php