Ransomware altamente customizável deve levar a ataques mais perigosos

O ano está chegando ao fim e um dos grandes adversários de 2022 parece já estar na ativa. Especialistas em segurança estão alertando para o surgimento do ALPHV BlackCat, uma nova operação de ransomware altamente customizável e com nível de sofisticação superior que já está fazendo suas vítimas ao redor do mundo desde que foi identificada pela primeira vez, no final de novembro.

• Malware mais perigoso do mundo está de volta e Brasil está entre mais atingidos
• Pesquisa revela perfil de fraudadores corporativos

Programado na linguagem Rust, o que garante maior confiabilidade e desempenho aos criminosos, a praga é totalmente programável e pode ser controlada remotamente pelos criminosos. São eles quem decidem as rotinas de criptografia, a disseminação lateral e as operações que a praga realiza na rede comprometida, incluindo dinâmicas de bloqueio de soluções de segurança, a visualização da interface das máquinas contaminadas e, logicamente, o momento da detonação do ataque.

O alerta foi feito pelos especialistas do MalwareHunterTeam, que apontam para uma ameaça de origem russa. Como normalmente acontece com operações de alta sofisticação, o foco está no oferecimento de ransomware como serviço, com afiliados sendo recrutados para indicar alvos em potencial e dividir os lucros oriundos dos resgates. Até regras relacionadas aos pagamentos estão em vigor, determinando a entrega de 20% para pagamentos até US$ 1,5 milhão e de 10% quando os valores forem acima dos US$ 3 milhões.

O bando não parece ter um foco específico, tanto em termos regionais quanto de setor atacado. Empresas dos EUA, Índia e Austrália estão entre as mais atingidas, com valores de resgate variando entre US$ 400 mil e US$ 3 milhões; há uma preferência pelo pagamento em Monero, com os criminosos pedindo que uma taxa de 15% seja acrescentada caso o acerto seja feito em Bitcoins.

Seguindo a lógica de outras gangues de ransomware, o ALPHV BlackCat também possui um site próprio onde todas as vítimas são listadas, juntamente com amostras dos dados vazados e sistemas para a condução de negociações. Por enquanto, de acordo com os especialistas de segurança, ferramentas de proteção e quebra de criptografia não se mostraram efetivas contra os ataques do bando.

Ofensiva direta

Trata-se de uma ameaça escrita do zero, o que amplia ainda mais seu poder de fogo e permite o potencial de customização que se tornou um dos destaques da ameaça. Todo o progresso da contaminação, incluindo disseminação lateral e o andamento do travamento dos arquivos, pode ser acompanhado em tempo real, com um console, com os arquivos também podendo serem hospedados na rede Tor a partir da mesma interface.

Junto com o aviso, os especialistas também divulgaram detalhes técnicos do ALPHV BlackCat no GitHub. De acordo com eles, cada instância de contaminação acompanha arquivos de configuração que determinam, por exemplo, os arquivos criptografados ou não, o estilo de ataque desejado, serviços do sistema que serão encerrados pela praga e, claro, a nota de resgate com valores e meios de contato para negociação pelas vítimas, além de outros atributos.

Elementos específicos chamaram a atenção, como dinâmicas voltadas a ferramentas da Microsoft e do pacote Office e instâncias ligadas ao Steam, indicando seu uso, também, contra a parcela gamer. Backups e restaurações de bancos de dados também podem ser desativados e até deletados antes da detonação dos ataques, aumentando o poder destrutivo e, logicamente, o potencial lucrativo.

Além disso, a prática da tripla extorsão não poderia faltar, com os bandidos não apenas solicitando resgate às empresas afetadas como, também, ameaçando realizar ataques de negação de serviço que dificultem ainda mais a recuperação. Parceiros comerciais também podem ser contatados como forma de aumentar a pressão para pagamento do resgate.

De acordo com o MalwareHunterTeam, o vazio deixado por bandos como BlackMatter e REvil pode muito bem ser preenchido pelo ALPHV BlackCat. Os especialistas apontam esta como uma das principais ameaças para 2022, com o alto poder de customização a tornando uma tendência importante a ser observada por administradores e profissionais de proteção.

Fonte: Bleeping Computer