A empresa de inteligência de ameaças Cyble anunciou a descoberta de três novas famílias de Ransomware chamadas AXLocker, Octocrypt e Alice Ransomware. Confira abaixo mais detalhes sobre as três variações do vírus cibernético.
O AXLocker rouba tokens de usuários do Discord
O ransomware batizado de AXLocker funciona visando certas extensões de arquivo com criptografia AES, antes de extorquir a vítima. No entanto, antes de criptografar os dados, ele rouba os tokens do Discord usados pela plataforma para autenticar os usuários quando estes inserem suas credenciais para fazer login em uma conta.
A análise do código revelou que a função startencryption() implementa a capacidade de pesquisar arquivos enumerando os diretórios disponíveis na unidade C:. O malware visa apenas extensões de arquivo específicas e exclui uma lista de diretórios do processo de criptografia.
“Depois de criptografar os arquivos da vítima, o ransomware coleta e envia informações confidenciais, como nome do computador, nome de usuário, endereço IP da máquina, UUID do sistema e tokens de discord…” segundo a análise publicada pela Cyble.
Para roubar tokens do Discord, o malware tem como alvo os seguintes diretórios:
- DiscordArmazenamento localleveldb
- discordcanaryArmazenamento localleveldb
- discordptbleveldb
- Opera SoftwareOpera StableArmazenamento Localleveldb
- GoogleChromeDados do usuárioPadrãoArmazenamento localleveldb
- BraveSoftwareBrave-BrowserUser DataDefaultLocal Storageleveldb
- YandexYandexBrowserUser DataDefaultLocal Storageleveldb
Ele usa regex para encontrar os tokens Discord nos arquivos de armazenamento local e os salva na lista e os envia para o servidor Discord junto com outras informações usando o URL abaixo:
hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75 [Redacted]DJimbA7xriJVmtb14gUP3VCBBZ0AZR
Depois que o malware criptografa os arquivos, ele mostra uma janela pop-up que contém uma nota de resgate com instruções para entrar em contato com os operadores. A nota de resgate não inclui o valor solicitado às vítimas para recuperar seus arquivos.
Octocrypt Ramsomware
Octocrypt é uma nova variedade de ransomware que tem como alvo todas as versões do Windows. O criador de ransomware, criptografador e descriptografador são escritos em Golang . Os ATs por trás da Octocrypt operam sob o modelo de negócios Ransomware-as-a-Service (RaaS) e surgiram em fóruns de cibercrimes por volta de outubro de 2022 por US$ 400. O ransomware Octocrypt possui uma interface web simples para criar o criptografador e o descriptografador, e o painel da web também exibe os detalhes da vítima infectada.
A imagem abaixo mostra uma postagem feita pelo desenvolvedor do Octocrypt Ransomware em um fórum de crimes cibernéticos
Com base na análise da Cyble, foi descoberto que o ransomware é um executável binário GoLang de 64 bits baseado em console. Ao ser executado, o ransomware inicialmente garante a conexão do sistema com a internet e, em seguida, verifica a conexão TCP para acessar a URL da API. Depois disso, o malware inicia o processo de criptografia enumerando os diretórios e criptografa os arquivos da vítima usando o algoritmo AES-256-CTR, acrescentando a extensão como “.octo” .
Em seguida, o ransomware coloca a nota de resgate em várias pastas com o nome de arquivo “ INSTRUCTIONS.html ”. Por fim, o ransomware altera o papel de parede da vítima, que exibe uma mensagem que ameaça a vítima enviar um valor de resgate para um endereço específico da carteira Monero, confira na imagem abaixo.
Alice Ransowmare
A terceira e última variação maligna é apelidada de “Alice” também apareceu em fóruns de crimes cibernéticos sob o projeto TAs de “Alice in the Land of Malware” (Alice na Terra do Malware). O ransomware Alice também funciona sob o modelo de negócios Ransomware-as-a-Service (RaaS). Os indicadores de comprometimento dessa variedade de ransomware não estão disponíveis na natureza.
Os desenvolvedores do malware disponibilizam o Alice por apenas US$600 por mês e, em troca, o comprador obtém suporte responsivo, elementos de personalização e recursos de criptografia mais rápidos. Além disso, também oferece compatibilidade com PCs asiáticos/árabe.
O Alice Ranson vem com um pequeno “extra”, permite que os TAs gerem arquivos binários de ransomware com uma nota de resgate personalizada. Após digitar a mensagem de resgate e clicar no botão “New Build” no construtor de tema, ele irá gerar dois arquivos executáveis chamados “Encryptor.exe” e “Decryptor.exe”, conforme mostrado na imagem:
A execução bem-sucedida criptografa os arquivos da vítima e anexa a extensão como “.alice ”. Além disso, o malware descarta notas de resgate chamadas de “How to Restore Your Files.txt” (Como restaurar seus arquivos.txt) em várias pastas.
Como prevenir ataques de Ransomware?
- Realize práticas regulares de backup e mantenha esses backups off-line ou em uma rede separada.
- Ative o recurso de atualização automática de software em seu computador, celular e outros dispositivos conectados sempre que possível e pragmático.
- Use um antivírus confiável e um pacote de software de segurança da Internet em seus dispositivos conectados, incluindo PC, laptop e celular.
- Evite abrir links não confiáveis e anexos de e-mail sem verificar sua autenticidade.
O que fazer após um ataque de Ransomware?
- Desanexe dispositivos infectados na mesma rede.
- Desconecte os dispositivos de armazenamento externos, se conectados.
- Inspecione os logs do sistema em busca de eventos suspeitos.
Impactos que um Ransomware pode ter sob uma empresa
- Perda de dados valiosos.
- Perda da reputação e integridade da organização.
- Perda de informações comerciais confidenciais da organização.
- Interrupção na operação da organização.
- Alta perda financeira.