O cibercrime brasileiro é conhecido
mundialmente pelo desenvolvimento de trojans bancários, mas é
interessante ver que já começou a mover seus esforços para novas áreas
de ataque — o que agora inclui ransomware, os vírus sequestradores. A
Kaspersky Lab encontrou recentemente uma nova variante de um ransomware
desenvolvido por um grupo de criminosos brasileiros. Chamamos a praga de
Trojan-Ransom.Win32.Xpan – ela tem sido usada em ataques contra empresas e hospitais, cifrando arquivos por meio da extensão “.___xratteamLucked”.
Nossa equipe de especialistas foi capaz de decifrar o ransomware XPan,
permitindo que um hospital, vítima do ataque desse grupo, pudesse
recuperar seus arquivos.
Este não é o primeiro ransomware originário do Brasil. Já descrevemos no passado o TorLocker e sua criptografia falha, um ransomware criado e negociado mundialmente por um brasileiro. Também já vimos várias versões do HiddenTear usado em ataques locais. Já o trojan ransom Xpan foi criado por um grupo de cibercriminosos brasileiros, que fazem ataques remotos direcionados via RDP, abusando de senhas fáceis ou configurações incorretas.
O grupo atrás do ataque se identifica com os nomes “TeamXRat” ou “CorporaçãoXRat”. A partir do trojan ransom Xpan, concluímos que o grupo de criminosos evoluiu a qualidade do código para um esquema criptográfico mais complexo.
A mensagem de resgate é em português e não informa quanto a vítima terá de pagar para obter seus arquivos, nem o método de pagamento – geralmente, Bitcoins. Ao invés disso, o pedido de resgate faz com que as vítimas entrem em contato por e-mail usando contas configuradas em serviços anônimos de e-mail, como Mail2Tor e Email.tg, em endereços como corporacaoxrat@mail2tor.com, xRatTeam@mail2tor.com e xratteam@email.tg, informando a chave pública usada para cifrar os arquivos.
Assim que vítimas entram em contato com o grupo criminoso, eles começam a negociação do pagamento, respondendo em português e pedindo como pagamento 1 bitcoin (cerca de R$ 2 mil) para decifrar os arquivos. Também apresentam o pagamento como sendo uma “doação” porque eles “exploraram falhas no seu sistema e fizeram o ataque para que se melhore a segurança”. Ainda oferecem a decifragem de 1 arquivo de graça.
Uma vez que os alvos são empresas, o grupo remove a configuração de proxies usados nos ambientes corporativos. Essa técnica é usada para dar conexão direta à internet às vítimas, para que possam enviar a mensagem de email para os criminosos, ou acessar sites que vendem bitcoins.
Após concluir sua execução, o ransomware exibe a seguinte mensagem de resgate no sistema infectado:
Este não é o primeiro ransomware originário do Brasil. Já descrevemos no passado o TorLocker e sua criptografia falha, um ransomware criado e negociado mundialmente por um brasileiro. Também já vimos várias versões do HiddenTear usado em ataques locais. Já o trojan ransom Xpan foi criado por um grupo de cibercriminosos brasileiros, que fazem ataques remotos direcionados via RDP, abusando de senhas fáceis ou configurações incorretas.
O grupo atrás do ataque se identifica com os nomes “TeamXRat” ou “CorporaçãoXRat”. A partir do trojan ransom Xpan, concluímos que o grupo de criminosos evoluiu a qualidade do código para um esquema criptográfico mais complexo.
A mensagem de resgate é em português e não informa quanto a vítima terá de pagar para obter seus arquivos, nem o método de pagamento – geralmente, Bitcoins. Ao invés disso, o pedido de resgate faz com que as vítimas entrem em contato por e-mail usando contas configuradas em serviços anônimos de e-mail, como Mail2Tor e Email.tg, em endereços como corporacaoxrat@mail2tor.com, xRatTeam@mail2tor.com e xratteam@email.tg, informando a chave pública usada para cifrar os arquivos.
Assim que vítimas entram em contato com o grupo criminoso, eles começam a negociação do pagamento, respondendo em português e pedindo como pagamento 1 bitcoin (cerca de R$ 2 mil) para decifrar os arquivos. Também apresentam o pagamento como sendo uma “doação” porque eles “exploraram falhas no seu sistema e fizeram o ataque para que se melhore a segurança”. Ainda oferecem a decifragem de 1 arquivo de graça.
Uma vez que os alvos são empresas, o grupo remove a configuração de proxies usados nos ambientes corporativos. Essa técnica é usada para dar conexão direta à internet às vítimas, para que possam enviar a mensagem de email para os criminosos, ou acessar sites que vendem bitcoins.
Após concluir sua execução, o ransomware exibe a seguinte mensagem de resgate no sistema infectado:
“Todos os seus arquivos foram cifrados com criptografia RSA 2048 bits”
Uma versão anterior dessa praga, desenvolvida pelo mesmo grupo usava um algoritmo criptográfico mais simples, conhecido como TEA (ou Tiny Encryption Algorithm). Depois de comparar essa versão (chamada de Xorist) contra a nova variante Xpan, observamos que agora eles estão usando a criptografia AES-256.
A maioria dos ataques realizados pelo TeamXRat é feita manualmente, instalando o ransomware no servidor hackeado. Para fazer o ataque, usam força bruta em servidores com o RDP (Remote Desktop Protocol) ativado. Colocar servidores RDP diretamente na internet não é um procedimento recomendado e ataques de força bruta contra eles não é algo novo. Porém, fazê-lo sem os devidos controles para prevenir ou pelo menos detectar e responder às tentativas de ataques é bastante desejado pela maioria dos cibercriminosos, que fazem ataques dessa forma regularmente. Uma vez que o servidor é comprometido, o criminoso manualmente desativa o antivírus instalado e procede com a infecção e criptografia dos arquivos.
Não é surpresa ver que o Brasil foi o país com o maior número de servidores comprometidos, colocados à venda em um site underground –disponível para qualquer criminoso comprar.
xDedic: servidores RDP comprometidos a venda no Mercado underground
Como podemos ver, os cibercriminosos brasileiros estão diversificando seus “negócios”, com novas famílias de ransomware desenvolvidas do zero, abandonando versões antigas que usavam XOR e adotando algoritmos criptográficos novos e mais robustos. É um sinal claro que começaram a explorar novas áreas e alvos, em ataques diferentes dos que temos presenciado.
Como previmos início do ano, os ataques de ransomware ultrapassarão em número e impacto os trojans bancários. O ransomware traz vantagens se comparado aos trojans de roubo financeiro direto: monetização direta, usando um sistema de pagamentos anônimo (Bitcoin) e custo por vítima relativamente baixo.
Nossa equipe de especialistas foi capaz de decifrar o ransomware XPan, permitindo que um hospital, vítima do ataque desse grupo, pudesse recuperar seus arquivos. Se você foi vítima desse ataque, não pague o resgate! Entre em contato com nosso suporte. Poderemos ajudar. A Kaspersky Lab continua avaliando variantes dessa praga que, seguramente, irão aparecer. Mais detalhes técnicos sobre o funcionamento da praga podem ser obtidos aqui.
Nenhum comentário:
Postar um comentário