0
0
O incipiente grupo de ransomware Akira está ganhando impulso e expandindo sua base de alvos, seguindo outros grupos cibercriminosos, adicionando recursos para explorar sistemas Linux como parte de uma crescente sofisticação em sua atividade, descobriram pesquisadores.
A gangue, que surgiu como uma força cibercriminosa a ser considerada em abril deste ano, é conhecida principalmente por atacar sistemas Windows e mantém um site exclusivo de vazamento de dados projetado como um prompt de comando interativo usando jQuery.
No entanto, o grupo – nomeado para um clássico cult de anime japonês de 1988 com um motociclista psicopata – agora está mudando suas táticas para atingir o Linux, com uma nova versão de seu ransomware que pode explorar sistemas que executam o sistema operacional de código aberto, revelaram pesquisadores do Cyble Research and Intelligence Labs (CRIL) em um post publicado em 29 de junho.
Esse movimento reflete tanto a evolução de Akira quanto uma tendência crescente entre os grupos de ransomware, que agora veem a oportunidade de explorar a popularidade do Linux em ambientes corporativos. O Linux tornou-se o padrão de fato para executar sistemas baseados em contêineres virtuais, que normalmente são o back-end para dispositivos de Internet das Coisas (IoT) e aplicativos de missão crítica.
“O fato de que um grupo de ransomware anteriormente centrado no Windows agora está voltando sua atenção para o Linux ressalta a crescente vulnerabilidade desses sistemas a ameaças cibernéticas”, escreveram os pesquisadores no post.
De fato, a mudança de Akira segue um movimento de outros ransomwares mais estabelecidos – como os grupos de ransomware Cl0p, Royal e IceFire – para fazer o mesmo.
Akira também está se expandindo rapidamente, tendo em apenas alguns meses já comprometido 46 vítimas divulgadas publicamente – a maioria das quais está localizada nos EUA, disseram os pesquisadores.
As vítimas abrangem vários setores, mas a maior parte das vítimas veio do setor de educação, seguido de perto pela manufatura, serviços profissionais, BFSI e construção. Outras vítimas estão espalhadas por diversas verticais, incluindo agricultura e pecuária, alimentos e bebidas, TI e ITES, imobiliária, bens de consumo, automotiva, química e outras indústrias, disseram eles.
Akira está focado principalmente em comprometer e roubar dados de suas vítimas usando táticas de dupla extorsão, ameaçando vazar dados na Dark Web se eles não pagarem o resgate solicitado.
Como funciona o Linus-Targeting de Akira
O novo arquivo ransomware Linux infecta sistemas na forma de um executável de 64 bits baseado em console escrito no compilador Microsoft Visual C/C++, disseram os pesquisadores. Após a execução, ele usa a função de API GetLogicalDriveStrings() para obter uma lista das unidades lógicas atualmente disponíveis no sistema.
O malware então solta uma nota de resgate em várias pastas com o nome de arquivo “akira_readme.txt” e continua a procurar arquivos e diretórios para criptografar iterando através deles usando as funções de API FindFirstFileW() e FindNextFileW().
O ransomware usa as bibliotecas “Microsoft Enhanced RSA and AES Cryptographic Provider” para criptografar a máquina da vítima usando uma chave pública codificada em base64 codificada fixa, renomeando arquivos criptografados com a extensão “.akira”. Ele também usa várias funções da CryptoAPI em seu processo de criptografia, disseram os pesquisadores.
O ransomware Akira também inclui um recurso adicional que impede a restauração do sistema usando um comando do PowerShell para executar uma consulta WMI que exclui a cópia de sombra, acrescentaram.
A nota de resgate descartada fornece instruções às vítimas para entrar em contato com Akira para negociar os termos para o pagamento de um resgate. O grupo frequentemente ameaça as vítimas com planos de vazar os dados em seu site de ransomware (também conhecido como extorsão dupla), que de fato exibe uma lista de vítimas que não pagaram e vazamentos associados de seus dados, disseram os pesquisadores.
Como Prevenir o & Mitigar Ransomware
Os pesquisadores fizeram uma série de recomendações sobre como as organizações podem prevenir e mitigar ataques de ransomware. Eles incluem a realização de práticas regulares de backup e manter esses backups offline ou em uma rede separada para que os sistemas possam ser restaurados em caso de ataque, disseram eles.
As organizações também devem ativar o recurso de atualização automática de software em computadores, bem como em outros dispositivos móveis e conectados, sempre que possível e pragmático, e usar antivírus confiável e pacote de software de segurança da Internet em todos os dispositivos conectados, aconselharam os pesquisadores.
Como o ransomware geralmente pega carona em arquivos espalhados por meio de ataques de phishing, os usuários corporativos também devem se abster de abrir links não confiáveis e anexos de e-mail sem verificar sua autenticidade, acrescentaram.
As medidas tomadas após um ataque de ransomware também têm um impacto na extensão do dano a uma rede. Se o ransomware for detectado em um sistema corporativo, as organizações devem desconectar imediatamente os dispositivos infectados na mesma rede, desconectar quaisquer dispositivos de armazenamento externos conectados e inspecionar os registros do sistema em busca de eventos suspeitos, acrescentaram os pesquisadores.
FONTE: DARK READING