Roblox | Gangue vende chave que destrava ransomware na loja do game
Por Felipe Demartini | Editado por Claudio Yuge | 10 de Junho de 2022 às 20h20
Em um método nada usual, uma quadrilha de ransomware está usando a loja do game Roblox para vender a ferramenta que destrava os arquivos bloqueados nos sistemas das vítimas. Por meio do marketplace, o desencriptador é vendido em uma moeda do próprio jogo, cuja compra deve ser realizada pelos atingidos pela praga como parte do processo de liberação dos arquivos.
- Criminosos usam jogos para espalhar malware que controla redes sociais
- Quais atitudes sua empresa pode tomar agora para lidar com golpes de ransomware?
No momento em que essa reportagem é escrita, o Ryuk Decrypter segue no ar na loja online de Roblox e está custando 1.499 Robux. A moeda interna do título é usada em todas as transações desse universo e é vendida em pacotes; R$ 109,90, por exemplo, garantem 1.700 unidades, ou seja, na conta, a ferramenta que destrava os arquivos está sendo comercializada por R$ 97.
Apesar do nome do desencriptador e também dos arquivos encriptados com uma extensão similar, a operação não tem nada a ver com a reconhecida gangue Ryuk. Por trás dos ataques está um grupo autointitulado WannaFriendMe, cuja ferramenta de sequestro digital é uma variante do ransomware Chaos, cuja ferramenta de personalização foi liberada em junho e permite a criação de notas de resgate e o uso de extensões especiais para os dados travados.
De acordo com o texto que é deixado nos sistemas comprometidos, as vítimas devem criar uma conta em Roblox e realizar a compra da ferramenta, enviando um e-mail com nome de usuário e uma captura de tela provando a aquisição. A verdadeira chave de destrava, então, deve ser enviada diretamente pelos criminosos, em um formado nada usual mas que se assemelha ao método usual de pagamento, as criptomoedas, usadas como forma de receber o dinheiro enquanto se evita a detecção pelas autoridades.
Análises preliminares do WannaFriendMe, entretanto, mostram que ele é capaz não apenas de travar os dados, mas também de os destruir, muitas vezes impedindo uma recuperação completa mesmo após o pagamento. De acordo com apuração do site Bleeping Computer, apenas arquivos abaixo de 2 MB podem ser restaurados, enquanto todos os outros são substituídos por informações corrompidas, tornando o golpe bastante destrutivo e a compra do desencriptador inútil.
A Roblox Corporation não se pronunciou sobre a presença da ferramenta de destravamento de ransomware em sua loja oficial. Em seus termos de uso, a empresa proíbe a disponibilização de conteúdos gerados pelos usuários que tragam atividades ilegais.
Fonte: Bleeping Computer