Ransomware Instabot exige US$ 980 em Bitcoins para recuperar a informação

Views: 624
0 0
Read Time:2 Minute, 54 Second

A SonicWall, empresa de segurança da informação que protege mais de 1 milhão de redes em todo o mundo, revela que a equipe de investigação de ameaças do SonicWall Capture Labs encontrou um novo ransomware, conhecido como Instabot. Trata-se de um tipo de ataque por meio de software malicioso que infecta o computador do usuário e exibe mensagens que exigem o pagamento de um resgate para que o sistema volte a funcionar. O objetivo dos cibercriminosos é receber dinheiro e, neste caso, segundo as evidências da SonicWall, o que está sendo solicitado é o pagamento de Bitcoin.

A ameaça está se estendendo ativamente e o servidor web utilizado pelos operadores está, atualmente, online.

Os cibercriminosos cobram US$ 980 em Bitcoin para a recuperação de arquivos, mas também oferecem um desconto de 50% se o pagamento se realizar dentro de 72 horas.

Segundo o relatório anual de ciberameaças da SonicWall, os ataques direcionados de ransomware paralisam as vítimas. Embora o volume total de ransomware (187,9 milhões) tenha diminuído 9% durante o ano, os ataques altamente seletivos deixaram paralisados muitos governos federais, estaduais e municipais, eliminando os serviços de comunicações por e-mail, sites, linhas telefônicas e também escritórios inteiros.

Ciclo de infecção:
O malware usa o seguinte ícone:

Faz a seguinte solicitação de DNS:
akbz.top

Instabot informa a infecção a um servidor remoto. Isso inclui a chave pública:

São feitas solicitações a um servidor remoto para fazer download de malware adicional. Nem todas as solicitações tiveram sucesso:

Os seguintes arquivos são agregados ao sistema de arquivos:

*% APPDATA% cef8b3be-77de-4842-b1ba-45fe8e197331 {nombre de archivo original} .exe

*% APPDATA% 456888e5-7040-4fd5-8f4b-c39f07380640 updatewin1.exe [Detectado como: GAV: Instabot.RSM_7 (Troyano)]

*% APPDATA% 456888e5-7040-4fd5-8f4b-c39f07380640 updatewin2.exe [Detectado como: GAV: Instabot.RSM_8 (Troyano)]

*_readme.txt (copiado en directorios donde se cifraron los archivos)

Os arquivos criptografados recebem uma extensão. sqpc.

_readme.txt contém a mensagem de resgate mostrada a seguir. Exige USD 490 para a recuperação de arquivos após um desconto de 50%:

A equipe de investigação de ameaças do SonicWall Capture Labs se comunicou com os operadores por e-mail e recebeu algumas instruções, que são as mesmas recebidas pelos usuários vítimas para continuar ameaçando-os.

Na mensagem de e-mail é fornecido um link para um vídeo que mostra como usar a ferramenta de descriptografia.

Eis algumas capturas de tela do vídeo:


SonicWall Capture Labs fornece proteção contra essa ameaça por meio das seguintes assinaturas:

GAV: Instabot.RSM_7 (trojan)
GAV: Instabot.RSM_8 (trojan)

Essa ameaça também é detectada pelo SonicWALL Capture ATP com RTDMI e as soluções de end point como Capture Client.

As empresas podem detectar em tempo real o ransomware com serviços avançados de segurança de múltiplas camadas, incluindo segurança de terminais, serviços de firewall de última geração, segurança de e-mail e acesso remoto seguro. Com a plataforma da SonicWall, as empresas podem deter as variantes de ransomware novas, conhecidas e atualizadas, e fazer voltar os terminais ao seu estado inicial por meio da opção de rollout.

A SonicWall oferece o modelo Boundless Cybersecurity, algo essencial na era da computação hiper distribuída. Resolvemos os desafios de segurança dos negócios digitais, protegendo PMEs, corporações e governos, quaisquer que sejam seus pontos de exposição a ataques. Ao revelar ameaças ainda desconhecidas, fornecendo visibilidade em tempo real ao gestor de segurança, a SonicWall possibilita a contínua inovação da economia. A inteligência SonicWall interrompe os ataques cibernéticos mais evasivos.

FONTE: INFORCHANNEL

POSTS RELACIONADOS