Xpan, por TeamXRat: o novo (e perigoso) ransomware de origem brasileira

Por Redação | em 03.10.2016 às 20h34

Ciberataque

Mais uma praga vem se disseminando no mundo do cibercrime. Agora, o mais novo ransomware (vírus sequestrador de dados) descoberto pela Kaspersky Lab, empresa responsável por segurança de dados na web, vem sendo utilizado em ataques contra empresas e hospitais, cifrando arquivos por meio da extensão “.___xratteamLucked". E mais: foi desenvolvido por um grupo de criminosos brasileiros. 

O ransomware, aliás, não é o primeiro nascido no Brasil. O país, aliás, já ficou famoso lá fora por outros vírus do tipo que chegaram a preocupar os analistas de cibersegurança, a exemplo do TorLocker e do HiddenTear. Fora o mais recente trojan ransom Xpan, também criado por um grupo de cibercriminosos brasileiros, que faz ataques remotos direcionados via RDP, abusando de senhas fáceis ou configurações incorretas.  

Os criminosos por trás disso se identificam por "CorporaçãoXRat" ou "TeamXRat" e, a partir do Xpan, conseguiram evoluir a qualidade do código para um esquema muito mais complexo de criptografia. Inclusive, a mensagem de resgate associada à praga é em português não informa quanto a vítima tem de pagar para obter seus arquivos de volta, muito menos o meio de pagamento (geralmente Bitcoins). Em vez disso, o pedido de resgate faz com que as vítimas entrem em contato por e-mail usando contas configuradas em serviços anônimos, como Mail2Tor e Email.tg, em endereços como corporacaoxrat@mail2tor.com, xRatTeam@mail2tor.com e xratteam@email.tg, informando a chave pública usada para cifrar os arquivos. 

Basta que as vítimas entrem em contato com o grupo para começar a negociação, que acontece totalmente em português e exige 1 bitcoin (cerca de R$ 2 mil) para decifrar arquivos. Curiosamente, o grupo apresenta o pagamento como sendo uma "doação", porque eles "exploraram falhas no seu sistema e fizeram o ataque para que se melhore a segurança", oferecendo a decifragem de um arquivo de graça. 

Vale salientar que os principais alvos são as empresas. O ataque, portanto, é caracterizado pela remoção de proxies usados nos ambientes corporativos, uma técnica usada para fornecer conexão direta à internet às vítimas, possibilitando-as enviar emails aos cibercriminosos e acessar sites para compra e venda de bitcoins. 

De acordo com a Kaspersky Lab, a grande maioria dos ataques realizados pelo TeamXRat é feita manualmente, instalando o ransomware no servidor hackeado. O grupo utiliza força bruta em servidores com o RDP (Remote Desktop Protocol) ativado. Aliás, colocar servidores RDP diretamente na internet não é um procedimento recomendado e ataques de força bruta contra eles não é algo novo. Inclusive, fazê-lo indiscriminadamente para prevenir ou pelo menos detectar e responder às tentativas de ataques é algo muito desejado pela maioria dos cibercriminosos, que usualmente atacam desta forma. Uma vez que o servidor é comprometido, o criminoso consegue desativar o antivírus instalado manualmente e compromete todos os arquivos remotamente. 

Cibercrime no Brasil 

Os cibercriminosos brasileiros estão se especializando cada vez mais, e chamando a atenção no mundo todo por criar novas famílias de ransomware desenvolvidas do zero, abandonando versões antigas que usavam XOR e adotando algoritmos muito mais "parrudos". Os ataques de ransomware, segundo a empresa, ultrapassarão em número e impacto os trojans bancários. Isso porque o ransomware é muito mais vantajoso se comparado aos trojans de roubo financeiro direto. Os principais motivos para isso são a monetização direta, usando um sistema de pagamentos anônimo (Bitcoin) e um custo por vítima relativamente baixo.  

A Kaspersky recomenda que as vítimas deste ataque não paguem o resgate e entrem em contato com o suporte da companhia. 

Com informações da Kaspersky Lab (SecureList)

Assine nosso canal e saiba mais sobre tecnologia!
Leia a Seguir

Comentários

Newsletter Canaltech

Receba nossas notícias por e-mail e fique
por dentro do mundo da tecnologia!

Baixe já nosso app Fechar

Novidade

Extensão Canaltech

Agora você pode ficar por dentro de todas as notícias, vídeos e podcasts produzidos pelo Canaltech.

Receba notificações e pesquise em nosso site diretamente de sua barra de ferramentas.

Adicionar ao Chrome