0
0
FONIX é um novo Ransomware as a Service disponível no cenário de ameaças que foi analisado pelos pesquisadores do SentinelLabs.
FONIX é um Ransomware as a Service (RaaS) relativamente novo analisado por pesquisadores do Sentinel Labs, seus operadores eram previamente especializados nos desenvolvedores de criptografadores/empacotadores binários.
Os atores por trás da FONIX RaaS anunciaram vários produtos em vários fóruns de crimes cibernéticos.
A FONIX apareceu pela primeira vez no cenário de ameaças em julho de 2020, felizmente, o número de infecções associadas a essa ameaça ainda é pequeno.
Especialistas apontaram que os autores do ransomware não exigem o pagamento de uma taxa para se tornar uma afiliada do serviço, os operadores só mantêm uma porcentagem de quaisquer resgates de sua rede de afiliados.
Especialistas acreditam que, no entanto, o FONIX RaaS pode rapidamente se tornar desenfreado se as empresas de segurança e as autoridades subestimarem isso.
“Notavelmente, o FONIX varia um pouco de muitas outras ofertas atuais da RaaS, na qual emprega quatro métodos de criptografia para cada arquivo e tem um ciclo de engajamento pós-infecção excessivamente complexo”, lê-se na análise publicada pelo Sentinel Labs.
As comunicações com os operadores do RaaS são realizadas por e-mail. Qualquer afiliado tem que fornecer aos operadores arquivos de um sistema de vítimas para obter o descriptografador e chave para a vítima, por sua vez os operadores guardam para eles 25% do resgate.
“Com base na inteligência atual, sabemos que as afiliadas da FONIX não recebem um utilitário ou chaves de descriptografia no início. Em vez disso, as vítimas primeiro entram em contato com o afiliado (comprador) por e-mail como descrito acima. O afiliado então solicita alguns arquivos da vítima. Estes incluem dois pequenos arquivos para descriptografia: um é para fornecer provas à vítima, o outro é o arquivo “cpriv.key” do host infectado. O afiliado é então obrigado a enviar esses arquivos para os autores da FONIX, que descriptografam os arquivos, após os quais eles podem ser enviados para as vítimas.” continua a análise.
“Presumivelmente, uma vez que a vítima está satisfeita de que a descriptografia é possível, o afiliado fornece um endereço de pagamento (carteira BTC). A vítima então paga a afiliada, com o afiliado, por sua vez, fornecendo aos autores da FONIX seu corte de 25%.”
Obviamente, o processo acima é um pouco complicado e muito menos fácil de usar do que a maioria dos serviços RaaS.
O ransomware FONIX visa apenas os sistemas Windows, por padrão ele criptografa todos os tipos de arquivos, excluindo arquivos críticos do Sistema operacional Windows.
O ransomware usa uma combinação de AES, Chacha, RSA e Salsa20 para criptografar os arquivos da vítima, acrescenta um . Extensão XINOF. Especialistas apontaram que o uso de vários protocolos de criptografia torna o processo de criptografia significativamente mais lento do que o de outros ransomwares.
Ao executar a carga com privilégios administrativos, são feitas as seguintes alterações no sistema:
- O Gerenciador de Tarefas está desativado
- A persistência é alcançada através de tarefa programada, inclusão da pasta de Inicialização e o registro (Run and RunOnce)
- As permissões de arquivos do sistema são modificadas
- Cópias persistentes da carga têm seu conjunto atribuído a oculto
- Um serviço oculto é criado para persistência (Windows 10)
- As etiquetas de unidade / volume são alteradas (para “XINOF”)
- Cópias de sombra de volume são excluídas (vssadmin, wmic)
- As opções de recuperação do sistema são manipuladas/desativadas (bcdedit)
- Opções de safeboot são manipuladas
“uma infecção pelo FONIX é notavelmente agressiva – criptografando tudo que não seja arquivos do sistema – e pode ser difícil de recuperar quando um dispositivo foi totalmente criptografado. Atualmente, a FONIX não parece estar ameaçando vítimas com consequências adicionais (como exposição a dados públicos ou ataques DDoS) por não conformidade”, conclui o relatório.
FONTE: SECURITY AFFAIRS