Novo ransomware estreia com 10 vítimas em um único mês

Um novo ransomware que começou a circular apenas em meados de fevereiro já estreou no cenário cibercriminoso com pelo menos 10 vítimas. O Dark Power, como é chamado, atingiu organizações de diferentes continentes e segmentos, com operações de dupla extorsão que envolvem o pedido de US$ 10 mil, cerca de R$ 51,8 mil, em criptomoedas Monero que devem ser pagas em até 72 horas.

• O que é ransomware? Aprenda tudo sobre a ameaça
• 13% das empresas ainda correm risco de ataque de ransomware em massa

O Brasil não aparece na lista das primeiras vítimas do Dark Power, que estão localizadas nos EUA, França, Algéria, República Checa, Egito, França, Israel, Turquia e Peru. As empresas atingidas também não demonstram foco definido, indo desde setores muito visados como saúde e educação até manufatura, tecnologia e produção de alimentos, todas listadas em um site na dark web onde a quadrilha publica os dados vazados daquelas que não efetuaram pagamento.

Desenvolvido na linguagem de programação Nim e com pelo menos duas variantes circulando, o ransomware foi descoberto pelos especialistas da empresa de cibersegurança Trellix. Ao ser implantado, o Dark Power cria uma chave de criptografia com 64 caracteres que é única para cada sistema contaminado, o que também dificulta tarefas de liberação dos arquivos sem o decodificador, que só é entregue mediante o pagamento do resgate.

A praga também faz uma contaminação seletiva, selecionando quais diretórios serão travados e outros a serem deixados de lado, de forma a não impedir que o dispositivo infectado seja usado para obtenção da nota de resgate. Enquanto o sequestro digital acontece, o Dark Power também é capaz de finalizar processos pesados, de forma a acelerar o processo e reduzir a chance de interrupção ou bloqueio por ferramentas de segurança.

Caso o prazo de três dias não seja cumprido pela vítima, a promessa é de liberação dos dados obtidos ao público. Além disso, segundo a Trellix, chama a atenção o uso de um arquivo PDF como nota de resgate, em vez do tradicional documento do Bloco de Notas, enquanto a linguagem usada por eles também é sofisticada, indicando um grupo de atacantes que sabe o que está fazendo. Enquanto existem poucos detalhes sobre o Dark Power e, principalmente, sobre a existência de uma operação de ransomware como serviço que poderia expandir seu alcance, não restam dúvidas sobre sua eficácia.

A recomendação é pela adoção de melhores práticas de segurança e uso de sistemas de monitoramento que detectem atividades de sequestro digital, bem como treinamento para que funcionários não caiam em vetores de entrada que costumam envolver ataques de phishing. O relatório da Trellix também inclui indicadores de comprometimento e outros sinais técnicos.

Fonte: Trellix