0
0
Um novo ator de ameaça que parece ser de origem vietnamita surgiu empunhando uma versão personalizada do ransomware Yashma que está prestes a atingir alvos em vários países de língua inglesa, Bulgária, China e Vietnã.
Pesquisadores da Cisco Talos descobriram o ator ainda desconhecido implantando uma variante de Yashma em uma campanha caracterizada por maneiras exclusivamente evasivas de armazenar e entregar sua nota de resgate que eles acreditam ter começado no início de junho, revelaram em uma postagem de blog publicada em 7 de agosto . .
Yashma é um executável de 32 bits escrito em .NET e uma versão renomeada do Chaos ransomware versão 5. A variante implantada pelo novo ator mantém a maioria de seus recursos originais, com exceção de algumas modificações notáveis, uma das quais é um novo maneira de armazenar e entregar a nota de resgate, disseram os pesquisadores. A nota também tem nuances daquela usada pelo notório ransomware WannaCry .
“Normalmente, o ransomware armazena o texto da nota de resgate como strings no binário”, escreveu Chetan Raghuprasad, pesquisador de segurança cibernética do Cisco Talos, no post. “No entanto, esta variante do Yashma executa um arquivo de lote incorporado, que possui os comandos para baixar a nota de resgate do repositório GitHub controlado pelo ator”.
Essa técnica evita soluções de detecção de endpoint e software antivírus, que normalmente detectam sequências de notas de resgate incorporadas no binário.
Além disso, o ator exige o pagamento do resgate em Bitcoins para um endereço de carteira e a taxa é dobrada se a vítima não pagar em três dias, de acordo com a análise dos pesquisadores. As vítimas também podem entrar em contato com o ator em ” nguyenvietphat.n@gmail.com “, uma das várias pistas que apontam para a origem do ator no Vietnã.
O ator mantém uma conta no GitHub como “nguyenvietphat”, que falsifica o nome legítimo de uma organização vietnamita, e a nota pede que as vítimas entrem em contato com eles durante um horário conveniente para o fuso horário do Vietnã.
No momento da análise dos pesquisadores, a operação do ransomware parece estar em seus estágios iniciais, já que não havia Bitcoin na carteira e a nota não especificava um valor a ser pago. No entanto, os pesquisadores encontraram notas de resgate escritas em inglês, búlgaro, vietnamita, chinês simplificado e chinês tradicional nos arquivos do GitHub do ator, o que indica possíveis alvos futuros.
Além disso, o texto da nota de resgate se assemelha ao usado na enorme campanha de ransomware WannaCry de 2017, potencialmente para ocultar a identidade do agente da ameaça e desviar os investigadores do rastro, disseram os pesquisadores.
O que está dentro, o que está fora
Yashma surgiu pela primeira vez em maio de 2022 como um módulo de ransomware completo no criador de malware Chaos , que emergiu como um limpador do submundo do crime antes de se transformar em um canivete suíço para hackers. Além de como apresenta sua nota de resgate, a variante também tem algumas outras diferenças em relação à versão principal do Yashma.
Uma modificação é como ele estabelece persistência em uma máquina. Versões anteriores do Yashma ransomware estabeleceram persistência na chave de registro Run e descartando um arquivo de atalho do Windows apontando para o caminho executável do ransomware na pasta de inicialização. A variante também faz o primeiro, mas cria um arquivo de favoritos “.url” na pasta de inicialização que aponta para o executável localizado em “%AppData%\Roaming\svchost.exe”, observaram os pesquisadores.
A variante também é notável pelo que mantém do código original, que é a capacidade anti-recuperação de Yashma que, uma vez que criptografa arquivos, limpa o conteúdo dos arquivos originais não criptografados, escreve apenas um caractere – “?” – e exclui o arquivo , disse Raghuprasad.
“Essa técnica torna mais desafiador para os respondentes de incidentes e analistas forenses recuperar os arquivos excluídos do disco rígido da vítima”, escreveu ele no post.
Estratégias de Defesa
Os pesquisadores incluíram um link para indicadores de comprometimento para que as organizações possam verificar seus sistemas para ver se foram afetados.
As organizações também podem proteger suas redes contra ransomware usando vários endpoints seguros, aplicativos da Web e soluções de e-mail, as últimas das quais são particularmente importantes, pois o ransomware geralmente entra em um sistema corporativo por meio de um ataque baseado em phishing ou e-mail.
Firewalls de rede, análise de malware e gateways de Internet seguros que impedem que os usuários se conectem a elementos maliciosos também podem ajudar a proteger as organizações contra ransomware e outros tipos de malware.
FONTE: DARKREADING