Atores de ransomware usam WinRar para criptografia

Este ano, quase no final de outubro, um novo grupo de ransomware apareceu com uma técnica de criptografia bastante incomum. “Memento Team”, em vez de criptografar os próprios arquivos, os copia para arquivos protegidos por senha usando uma versão de freeware renomeada do utilitário de arquivo legítimo WinRAR. Em seguida, a gangue bloqueia o arquivo com senhas e exclui os arquivos originais. Na nota de ransomware, os criminosos instruem as vítimas a contatá-los por meio de uma conta do Telegram. A equipe de analistas de segurança cibernética forneceu uma descrição de algumas das experiências de seus clientes com o novo ransomware.

WinRaR se tornou a nova ferramenta de ransomware

“As modificações no ransomware mudaram seu comportamento para evitar a detecção de atividade de criptografia. Em vez de criptografar arquivos, o código “criptografar” agora coloca os arquivos de forma não criptografada em arquivos de arquivo WinRaR, usando a cópia do WinRAR, salvar cada arquivo em seu próprio arquivo com uma extensão de arquivo .vaultz. As senhas foram geradas para cada arquivo à medida que ele foi arquivado. Em seguida, as próprias senhas foram criptografadas,” – Relatório SophosNews.

O texto e a formatação da nota de ransomware do grupo são semelhantes aos da gangue de ransomware REvil. além do que, além do mais, ameaça vazar os dados se os pagamentos não forem feitos. Mas, ao contrário do REvil, os pagamentos deveriam ser feitos em Bitcoin. A gangue exigiu 15.95 BTC (aproximadamente $1 milhões nos EUA). Essa é a soma de todos os arquivos e eles também ofereceram taxas de preços variáveis ​​para diferentes tipos de arquivos, separadamente. O uso exato de arquivos WinRar com senhas é muito semelhante a piadas antigas de ’00S. Então eram apenas pegadinhas, mas agora esses são ataques cibernéticos reais.

Atores de ransomware usam WinRar para criptografia
Um dos exemplos de notas de ransomware

Depois de quase seis meses investigando secretamente as vítimas’ gangue da rede começou seu ataque. Infelizmente para eles, a vítima não iniciou o processo de negociação. As organizações visadas anteriormente faziam backups dos arquivos criptografados e podiam voltar ao trabalho normal apesar do ataque. Em geral, 2021 ano viu um aumento significativo nos ataques de ransomware e pagamentos exigidos. Abaixo, fornecemos um breve trecho das tendências mais comuns para este ano neste ecossistema criminoso em particular.

ransomware 2021 fatos do ano

Estas são apenas frases curtas, mas devem fornecer os pontos principais da área. O ransomware começou a se espalhar para os telefones celulares graças à maior abertura geral do celular ao malware. A maioria deles cobre o navegador ou um aplicativo com a nota de resgate, tornando o dispositivo inutilizável. Devido à pandemia, a maioria das gangues de ransomware projetou seus interesses para setores vulneráveis, como instalações municipais, escolas e funcionários de trabalho remoto. RaaS ou Ransomware-as-a-service desenvolvido em um negócio de trabalho bastante eficaz. Ele permite que gangues de ransomware usem ferramentas de ransomware já desenvolvidas. A natureza descentralizada de toda a economia torna difícil para as agências de aplicação da lei direcioná-los com sucesso.

O ransomware evolui em suas táticas e métodos de trabalho com várias novas cepas de ransomware bastante eficazes que chegaram às manchetes. Sobre alguns deles, você certamente já ouviu falar. Conti, Revil, Lado escuro e Netwalker mudam seu comportamento, então os novos métodos de detecção precisam ser aplicados para continuar a lutar com eles no mesmo nível. E isso representa uma porcentagem de sucesso para as cepas atualizadas de ransomware, pois não poderia haver ferramentas de ajuda naquele momento.

Sobre Andy

Jornalista de segurança cibernética de Montreal, Canadá. Estudou ciências da comunicação na Universite de Montreal. Eu não tinha certeza se um trabalho de jornalista é o que eu quero fazer na minha vida, mas em conjunto com as ciências técnicas, é exatamente o que eu gosto de fazer. Meu trabalho é identificar as tendências mais atuais no mundo da segurança cibernética e ajudar as pessoas a lidar com o malware que têm em seus PCs.

Além disso, verifique

Os invasores geralmente não usam senhas longas com força bruta

Os invasores geralmente não usam senhas longas de força bruta

Os dados da rede de servidores honeypot da Microsoft mostraram que muito poucos ataques foram direcionados a longo e complexo …

Outro dia zero do Windows permite privilégios de administrador

Outro dia zero do Windows permite privilégios de administrador

O pesquisador Abdelhamid Naceri, que frequentemente relata bugs do Windows, desta vez, lançou uma prova de conceito funcional …

Deixe uma resposta