Ransomware pode apagar arquivos como tática para extorquir vítimas
Por Felipe Demartini | Editado por Claudio Yuge | 21 de Março de 2022 às 23h30
Apenas o sequestro de dados não é o suficiente para os cibercriminosos, com uma nova variante de ransomware agindo não apenas no travamento, mas também na ameaça de apagar as informações caso as vítimas não realizem o pagamento. O LokiLocker, como foi chamado, vem sendo detectado desde agosto do ano passado e, enquanto parece ainda estar em fase de testes, já é usado por pelo menos 30 grupos em ataques ao longo dos últimos meses.
- PSafe bloqueou 7 milhões de malwares nos últimos dois meses
- Google expõe quadrilha que atacava empresas e abria porta para ransomware
Trata-se de mais um caso de ransomware como serviço, com a gangue responsável pelo desenvolvimento da solução maliciosa a vendendo para afiliados que, por sua vez, realizam os ataques. Na maioria dos casos, os incidentes ocorreram na Ásia e o Leste da Europa, mas os especialistas do time de pesquisas e inteligência de ameaças da BlackBerry, responsáveis por publicar alerta sobre a praga, não indicam um padrão claro nem focos específicos para os golpes.
Há, entretanto, um elemento que se repete muito. Enquanto os pesquisadores não apontam diretamente uma relação entre o LokiLocker e o governo iraniano, eles apontam o uso de IDs de afiliados que só aparecem entre quadrilhas de lá, assim como o próprio país é o único em uma lista de restrições para ataques utilizando o ransomware; o recurso, entretanto, ainda não foi implementado.
Por outro lado, a BlackBerry cita indícios de relação entre os responsáveis pelo LokiLocker e uma quadrilha iraniana chamada AccountCrack, que desenvolveu ferramentas de invasão de contas com ataques de força bruta que fazem parte do kit do novo malware. Existem também semelhanças com o ransomware do grupo russo LockBit no código-fonte e na nota de sequestro, mas da mesma forma, não é possível afirmar veementemente se tratar de uma variante desta ameaça.
Seja como for, a ideia é trabalhar com credenciais roubadas e ataques de força bruta para invadir contas e instalar o ransomware. O LokiLocker é desenvolvido em .NET e realiza as operações usuais de sequestro de arquivos, criptografando o disco rígido da vítima mas não tornando o sistema operacional inutilizável, de forma a exibir notas de resgate e formas de contato com a quadrilha responsável para pagamento.
A segunda parte da ameaça bem depois, entretanto, com o fim do prazo firmado pelo bando iniciando a destruição dos arquivos. De acordo com a análise da BlackBerry, neste momento, o LokiLocker também tenta atacar o registro do Windows, de forma a travar as máquinas comprometidas completamente como forma de dificultar ainda mais um eventual processo de recuperação dos arquivos, que eles avisam, já na nota de sequestro, ser impossível.
Os pesquisadores apontam alertas do FBI sobre esta como uma nova forma de extorsão por parte dos criminosos digitais. Ao ameaçarem apagar os arquivos, eles aumentam a pressão sobre as empresas vitimadas, principalmente nos casos em que boas práticas de backup, mitigação e segurança não foram cumpridas. Ainda assim, a recomendação é para que as atingidas não paguem e busquem ajuda profissional e das autoridades para os incidentes sofridos.
Fonte: BlackBerry