Novo ransomware agora instala brechas e ficou mais difícil de detectar

Um aumento nas atividades do ransomware Hello XD levou à descoberta de novas capacidades de uma praga que vem apresentando evolução para se tornar mais perigosa. A ideia dos responsáveis pelos ataques seria, cada vez mais, diferenciar a ameaça de suas origens, enquanto são adicionadas a ela capacidades de furtividade de sistemas de segurança e recursos de implantação de backdoors que podem levar a novos golpes além do próprio travamento de arquivos.

• Mercado de ransomware deve gerar US$ 100 milhões em prejuízos até 2027
• Facebook Messenger é usado em phishing que atinge milhões de vítimas

O alerta foi feito pela Unit 42, braço de segurança digital da Palo Alto Networks, e fornece atualizações sobre um ransomware que começou a circular em novembro do ano passado. Inicialmente baseado em outra praga de sequestro digital, a Babuk, o Hello XD agora apresenta um novo encriptador de arquivos, mais sofisticado e capaz de apagar seus rastros para dificultar detecção e recuperação.

Mudou também o modo de negociar resgates com as vítimas, sem o uso de um site na dark web. Os atingidos, agora, precisam fazer isso por meio de um sistema de chat seguro fora da superfície da rede, com a nota de resgate trazendo identificações pessoais e métodos de contato para que a conversa e a transferência dos valores aconteçam, em troca da chave de criptografia para liberação dos arquivos.

Outra grande mudança é a aplicação do MicroBackdoor, um sistema que permite aos criminosos navegarem os sistemas comprometidos, identificarem dados relevantes para serem furtados e, principalmente, apagar os próprios rastros. Segundo os especialistas, a porta de entrada é aplicada assim que o comprometimento com o Hello XD acontece, servindo como elemento central para as contaminações que vêm sendo observadas.

A Unit 42 rastreia o ransomware a um grupo de origem russa conhecido como X4KME, que já vinha sendo acompanhado por especialistas por lançarem tutoriais e guias de programação e uso de outras pragas, como o Cobalt Strike. Enquanto há indícios de aumento nas atividades, o alerta não fala em uma disseminação significativa de golpes internacionais, recomendando atenção e monitoramento diante da possibilidade de escalada dos golpes.

O vetor de entrada não foi revelado, enquanto a recomendação é de atenção, principalmente a administradores de rede e especialistas, para o monitoramento de redes que possam ser atingidas. O alerta da Unit 42 inclui detalhes técnicos e indicadores de comprometimento pelo Hello XD, que podem ser usados em tarefas de resiliência e defesa contra ataques.

Fonte: Unit 42