Publicidade

Ransomware pode apagar arquivos como tática para extorquir vítimas

Por| Editado por Claudio Yuge | 21 de Março de 2022 às 23h30

Link copiado!

Pexels/Cottonbro
Pexels/Cottonbro

Apenas o sequestro de dados não é o suficiente para os cibercriminosos, com uma nova variante de ransomware agindo não apenas no travamento, mas também na ameaça de apagar as informações caso as vítimas não realizem o pagamento. O LokiLocker, como foi chamado, vem sendo detectado desde agosto do ano passado e, enquanto parece ainda estar em fase de testes, já é usado por pelo menos 30 grupos em ataques ao longo dos últimos meses.

Trata-se de mais um caso de ransomware como serviço, com a gangue responsável pelo desenvolvimento da solução maliciosa a vendendo para afiliados que, por sua vez, realizam os ataques. Na maioria dos casos, os incidentes ocorreram na Ásia e o Leste da Europa, mas os especialistas do time de pesquisas e inteligência de ameaças da BlackBerry, responsáveis por publicar alerta sobre a praga, não indicam um padrão claro nem focos específicos para os golpes.

Há, entretanto, um elemento que se repete muito. Enquanto os pesquisadores não apontam diretamente uma relação entre o LokiLocker e o governo iraniano, eles apontam o uso de IDs de afiliados que só aparecem entre quadrilhas de lá, assim como o próprio país é o único em uma lista de restrições para ataques utilizando o ransomware; o recurso, entretanto, ainda não foi implementado.

Continua após a publicidade

Por outro lado, a BlackBerry cita indícios de relação entre os responsáveis pelo LokiLocker e uma quadrilha iraniana chamada AccountCrack, que desenvolveu ferramentas de invasão de contas com ataques de força bruta que fazem parte do kit do novo malware. Existem também semelhanças com o ransomware do grupo russo LockBit no código-fonte e na nota de sequestro, mas da mesma forma, não é possível afirmar veementemente se tratar de uma variante desta ameaça.

Seja como for, a ideia é trabalhar com credenciais roubadas e ataques de força bruta para invadir contas e instalar o ransomware. O LokiLocker é desenvolvido em .NET e realiza as operações usuais de sequestro de arquivos, criptografando o disco rígido da vítima mas não tornando o sistema operacional inutilizável, de forma a exibir notas de resgate e formas de contato com a quadrilha responsável para pagamento.

A segunda parte da ameaça bem depois, entretanto, com o fim do prazo firmado pelo bando iniciando a destruição dos arquivos. De acordo com a análise da BlackBerry, neste momento, o LokiLocker também tenta atacar o registro do Windows, de forma a travar as máquinas comprometidas completamente como forma de dificultar ainda mais um eventual processo de recuperação dos arquivos, que eles avisam, já na nota de sequestro, ser impossível.

Continua após a publicidade

Os pesquisadores apontam alertas do FBI sobre esta como uma nova forma de extorsão por parte dos criminosos digitais. Ao ameaçarem apagar os arquivos, eles aumentam a pressão sobre as empresas vitimadas, principalmente nos casos em que boas práticas de backup, mitigação e segurança não foram cumpridas. Ainda assim, a recomendação é para que as atingidas não paguem e busquem ajuda profissional e das autoridades para os incidentes sofridos.

Fonte: BlackBerry