Ransomware: Octocrypt, AXLocker e Alice – Novas Ameaças

Ransomware: Octocrypt, AXLocker e Alice – Novas Ameaças

Precisa de ajuda com um ataque de malicioso?

A empresa de inteligência de ameaças Cyble anunciou a descoberta de três novas famílias de Ransomware chamadas AXLocker, Octocrypt e Alice Ransomware. Confira abaixo mais detalhes sobre as três variações do vírus cibernético.

O AXLocker rouba tokens de usuários do Discord

O ransomware batizado de AXLocker funciona visando certas extensões de arquivo com criptografia AES, antes de extorquir a vítima. No entanto, antes de criptografar os dados, ele rouba os tokens do Discord usados pela plataforma para autenticar os usuários quando estes inserem suas credenciais para fazer login em uma conta.

A análise do código revelou que a função startencryption() implementa a capacidade de pesquisar arquivos enumerando os diretórios disponíveis na unidade C:. O malware visa apenas extensões de arquivo específicas e exclui uma lista de diretórios do processo de criptografia.

“Depois de criptografar os arquivos da vítima, o ransomware coleta e envia informações confidenciais, como nome do computador, nome de usuário, endereço IP da máquina, UUID do sistema e tokens de discord…” segundo a análise publicada pela Cyble.

Para roubar tokens do Discord, o malware tem como alvo os seguintes diretórios:

  • DiscordArmazenamento localleveldb
  • discordcanaryArmazenamento localleveldb
  • discordptbleveldb
  • Opera SoftwareOpera StableArmazenamento Localleveldb
  • GoogleChromeDados do usuárioPadrãoArmazenamento localleveldb
  • BraveSoftwareBrave-BrowserUser DataDefaultLocal Storageleveldb
  • YandexYandexBrowserUser DataDefaultLocal Storageleveldb

Ele usa regex para encontrar os tokens Discord nos arquivos de armazenamento local e os salva na lista e os envia para o servidor Discord junto com outras informações usando o URL abaixo:

 

hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75 [Redacted]DJimbA7xriJVmtb14gUP3VCBBZ0AZR

Depois que o malware criptografa os arquivos, ele mostra uma janela pop-up que contém uma nota de resgate com instruções para entrar em contato com os operadores. A nota de resgate não inclui o valor solicitado às vítimas para recuperar seus arquivos.

Resgate AXTLOCKER

Octocrypt Ramsomware

Octocrypt é uma nova variedade de ransomware que tem como alvo todas as versões do Windows. O criador de ransomware, criptografador e descriptografador são escritos em Golang . Os ATs por trás da Octocrypt operam sob o modelo de negócios Ransomware-as-a-Service (RaaS) e surgiram em fóruns de cibercrimes por volta de outubro de 2022 por US$ 400. O ransomware Octocrypt possui uma interface web simples para criar o criptografador e o descriptografador, e o painel da web também exibe os detalhes da vítima infectada.

A imagem abaixo mostra uma postagem feita pelo desenvolvedor do Octocrypt Ransomware em um fórum de crimes cibernéticos

Octocrypt Developer

Com base na análise da Cyble, foi descoberto que o ransomware é um executável binário GoLang de 64 bits baseado em console. Ao ser executado, o ransomware inicialmente garante a conexão do sistema com a internet e, em seguida, verifica a conexão TCP para acessar a URL da API. Depois disso, o malware inicia o processo de criptografia enumerando os diretórios e criptografa os arquivos da vítima usando o algoritmo AES-256-CTR, acrescentando a extensão como “.octo” .

Em seguida, o ransomware coloca a nota de resgate em várias pastas com o nome de arquivo “ INSTRUCTIONS.html ”. Por fim, o ransomware altera o papel de parede da vítima, que exibe uma mensagem que ameaça a vítima enviar um valor de resgate para um endereço específico da carteira Monero, confira na imagem abaixo.

Octocrypt desktop background

Alice Ransowmare

A terceira e última variação maligna é apelidada de “Alice” também apareceu em fóruns de crimes cibernéticos sob o projeto TAs de “Alice in the Land of Malware” (Alice na Terra do Malware). O ransomware Alice também funciona sob o modelo de negócios Ransomware-as-a-Service (RaaS). Os indicadores de comprometimento dessa variedade de ransomware não estão disponíveis na natureza.

Alice-ransomware-post

Os desenvolvedores do malware disponibilizam o Alice por apenas US$600 por mês e, em troca, o comprador obtém suporte responsivo, elementos de personalização e recursos de criptografia mais rápidos. Além disso, também oferece compatibilidade com PCs asiáticos/árabe.

O Alice Ranson vem com um pequeno “extra”, permite que os TAs gerem arquivos binários de ransomware com uma nota de resgate personalizada. Após digitar a mensagem de resgate e clicar no botão “New Build” no construtor de tema, ele irá gerar dois arquivos executáveis ​​chamados “Encryptor.exe” e “Decryptor.exe”, conforme mostrado na imagem:

Alice-ransomware-builder

A execução bem-sucedida criptografa os arquivos da vítima e anexa a extensão como “.alice ”. Além disso, o malware descarta notas de resgate chamadas de “How to Restore Your Files.txt” (Como restaurar seus arquivos.txt) em várias pastas.

Encrypted-files-and-dropped-ransom-note-by-Alice-ransomware

Como prevenir ataques de Ransomware?

  • Realize práticas regulares de backup e mantenha esses backups off-line ou em uma rede separada.
  • Ative o recurso de atualização automática de software em seu computador, celular e outros dispositivos conectados sempre que possível e pragmático.
  • Use um antivírus confiável e um pacote de software de segurança da Internet em seus dispositivos conectados, incluindo PC, laptop e celular.
  • Evite abrir links não confiáveis ​​e anexos de e-mail sem verificar sua autenticidade.

O que fazer após um ataque de Ransomware?

  • Desanexe dispositivos infectados na mesma rede.
  • Desconecte os dispositivos de armazenamento externos, se conectados.
  • Inspecione os logs do sistema em busca de eventos suspeitos.

Impactos que um Ransomware pode ter sob uma empresa

  • Perda de dados valiosos.
  • Perda da reputação e integridade da organização.
  • Perda de informações comerciais confidenciais da organização.
  • Interrupção na operação da organização.
  • Alta perda financeira.