Uma forma não convencional de ransomware está sendo implantada em ataques direcionados contra servidores corporativos - e parece ter links para alguns dos grupos cibercriminosos mais notórios do mercado.
O malware anteriormente criptografado do servidor não detectado foi detalhado em pesquisa de analistas de segurança cibernética da Intezer e IBM X-Force, que o denominaram PureLocker porque está escrito na linguagem de programação PureBasic.
É incomum que o ransomware seja escrito no PureBasic, mas oferece benefícios aos invasores, porque às vezes os fornecedores de segurança se esforçam para gerar assinaturas de detecção confiáveis para software malicioso escrito nesse idioma. O PureBasic também é transferível entre Windows, Linux e OS-X, o que significa que os invasores podem segmentar mais facilmente plataformas diferentes.
Nesse caso, ataques estão sendo lançados contra servidores, com o objetivo de mantê-los reféns e devolvê-los à operação somente após o pagamento de um resgate de criptomoeda . Os ataques de ransomware contra servidores geralmente levam a demandas de pagamentos de centenas de milhares de dólares em troca de descriptografar os sistemas e podem ser acompanhados por uma ameaça de destruir os dados se o resgate não for pago.
"Alvejar servidores significa que os atacantes estão tentando atingir suas vítimas onde realmente dói especialmente bancos de dados que armazenam as informações mais críticas da organização", disse ao ZDNet Michael Kajiloti, pesquisador de segurança da Intezer.
Atualmente, não há números sobre o número de vítimas do PureLocker, mas Intezer e IBM X-Force confirmaram que a campanha de ransomware está ativa, com o ransomware sendo oferecido aos atacantes como serviço.
No entanto, também se acredita que, em vez de ser oferecido a quem quiser, o serviço é oferecido como uma ferramenta sob medida, disponível apenas para operações cibercriminosas que podem pagar uma quantia significativa em primeiro lugar.
"É provavelmente um pouco caro e um tanto exclusivo, devido ao fato de haver relativamente poucos atores usando o malware como serviço específico e o nível de sofisticação de sua oferta", disse Kajiloti.
O código fonte do PureLocker ransomware oferece pistas para sua natureza exclusiva, pois contém seqüências de caracteres do malware backdoor 'more_eggs' . Esse malware é vendido na dark web pelo que os pesquisadores descrevem como um 'veterano' provedor de serviços maliciosos.
Essas ferramentas foram usadas por alguns dos grupos cibercriminosos mais prolíficos que operam atualmente, incluindo Cobalt Gang e FIN6 - e o ransomware compartilha código com campanhas anteriores dessas gangues de hackers. Isso indica que o PureLocker foi projetado para criminosos que sabem o que estão fazendo e sabem como atingir uma grande organização onde dói.
Atualmente, não se sabe exatamente como o PureLocker é entregue às vítimas, mas os pesquisadores observam que as campanhas more_eggs começam com emails de phishing , para que os ataques de ransomware possam começar da mesma maneira, com a carga útil final provavelmente a parte final de um ataque de várias etapas.
Aqueles que são infectados com o PureLocker ransomware recebem uma nota de resgate informando à vítima que eles precisam entrar em contato com um endereço de e-mail para negociar uma taxa pela descriptografia dos arquivos. O usuário também é avisado de que só tem sete dias para pagar o resgate e que, se não o fizer, a chave privada será excluída, o que significa que os arquivos não podem ser recuperados.
Os pesquisadores dizem que a campanha PureLocker ainda está ativa e que é importante garantir que as organizações tenham políticas apropriadas de segurança cibernética para proteger contra ataques.
"Como em qualquer ameaça de malware, ter uma boa infraestrutura de segurança ajuda, mas também educar os funcionários sobre phishing é fundamental", disse Kajilot.
Fonte: zdnet.com
Nenhum comentário:
Postar um comentário