Por R$ 1.300, hackers alugam ransonware feito sob medida para atacar o Brasil

Os setores de educação e manufatura no Brasil estão tendo de lidar com uma nova ameaça virtual: é o malware Vect, da família dos ransomware-as-a-service, que começou a operar no início de janeiro deste ano. Segundo os próprios hackers responsáveis pelo agente malicioso, ele foi construído do zero, em C++, sem reaproveitamento de códigos antigos ou vazados de outros ransomwares.

• Ransomware-as-a-Service (RaaS): A "uberização" do crime
• O que é ransomware?

Nos tempos atuais, a maioria dos ransomwares em operação reaproveita partes do LockBit 3.0 ou do Conti, já dando um diferencial importante ao vírus. Ele utiliza o algoritmo de encriptação moderno AEAD ChaCha20-Poly1305, cerca de 2,5 vezes mais rápido do que o AES-256-GCM em sistemas sem aceleração de hardware, sendo particularmente efetivo em redes empresariais.

Ataques do Vect

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo pesquisadores de segurança da Red Piranha, a nova ameaça possui alta sofisticação técnica e consegue afetar Windows, Linux e ambientes de virtualização VMware ESXi. O vírus consegue manipular o modo de boot de segurança do Windows para evitar antivírus, fazer reconhecimento de rede via protocolos DFS e SMB e automatizar a movimentação lateral com gerenciamento remoto WinRM e SMB.

O ransomware ainda é capaz de lidar com arquivos de disco rígido virtual especificamente para atingir a infraestrutura, encerrando processos de segurança, base de dados e backups para garantir que a encriptação funcione. O modo de extorsão é duplo, já que os arquivos também são coletados antes de começarem a ser encriptados.

Com uma infraestrutura maliciosa baseada em TOR, os cibercriminosos possuem até mesmo portal de recrutamento e cobram mais de R$ 1.300, pagos na criptomoeda Monero, para se juntar à rede hacker, além de ter um chat dedicado para negociações de resgate.

Caso a vítima não pague o resgate, tudo que foi roubado é publicado no site VECT RANSOMWARE // DATA ARCHIVE. Com o pagamento em Monero, é garantida a anonimidade financeira, e a comunicação também fica oculta através do protocolo TOX.

Os pesquisadores acreditam, portanto, que o Vect seja operado por hackers experientes que mudaram a fachada ou começaram nova atividade através de afiliados. Além do Brasil, organizações da África do Sul também foram afetadas pelos criminosos, que roubaram de 150 GB em arquivos a redes inteiras, incluindo informações pessoalmente identificáveis e listas de funcionários. 

Veja mais:

• Login único falha e permite que hackers invadam sistemas corporativos sem senha
• Botnet Aisuru usa TVs Android hackeadas para disparar maior ataque DDoS do mundo
• Extensões maliciosas do Chrome “sequestram” links de afiliados para roubar dados

VÍDEO | Como se proteger do ataque ransomware WannaCrypt

Fonte: Red Piranha