0
0
Os pesquisadores identificaram uma nova variedade de ransomware que remonta a 2019 e tem como alvo indivíduos e pequenas empresas, exigindo pequenos resgates de cada cliente, em vez das somas muitas vezes de milhões de dólares que os típicos atores de ransomware pedem.
TZW é a última cepa da família de ransomware Adhubllka, que apareceu pela primeira vez em janeiro de 2020, mas já estava ativa no ano anterior, revelaram pesquisadores da empresa de análise de segurança e operações Netenrich em uma postagem de blog publicada esta semana.
Ainda mais importante do que a descoberta da cepa é o processo que os pesquisadores realizaram para identificá-la corretamente. Ao longo dos anos, muitas das amostras do Adhubllka foram classificadas incorretamente e/ou etiquetadas incorretamente em alguma outra família de ransomware, diz Rakesh Krishnan, analista sênior de ameaças da Netenrich.
“Isso confundiria os caçadores de ameaças/pesquisadores de segurança ao fazer um relatório de incidente”, diz ele. Na verdade, os pesquisadores relatam que vários mecanismos já haviam detectado o TZW, mas encontraram vestígios de outro malware, como o CryptoLocker, na amostra.
Além disso, outros nomes já foram atribuídos à mesma peça, incluindo ReadMe, MMM, MME, GlobeImposter2.0 , que na verdade pertencem à família de ransomware Adhubllka. Toda essa confusão exigiu uma investigação mais aprofundada da genealogia da cepa de ransomware para identificá-la com a devida atribuição, diz Krishnan.
“Esta pesquisa também esclarece o rastreamento de uma família de ransomware até sua origem usando canais de comunicação e outros meios [dos atores da ameaça]”, incluindo e-mails de contato, notas de resgate e método de execução, que desempenharam um papel vital na análise. ele adiciona.
Racking Adhubllka
Adhubllka ganhou mais atenção pela primeira vez em janeiro de 2020, mas estava “altamente ativo” no ano anterior, observaram os pesquisadores. O grupo de ameaças TA547 usou variantes do Adhubllka em suas campanhas direcionadas a vários setores da Austrália em 2020.
Um dos principais motivos pelos quais foi tão complicado para os pesquisadores identificarem o TZW como um spinoff do Adhubllka é por causa dos pequenos pedidos de resgate que o grupo normalmente faz – entre US$ 800 e US$ 1.600. Nesse nível baixo, as vítimas muitas vezes pagam aos atacantes e os atacantes continuam a passar despercebidos.
“Este ransomware, como outros, está sendo distribuído por meio de campanhas de phishing , mas a singularidade reside no fato de que eles visam apenas indivíduos e pequenas empresas, portanto, não serão grandes notícias nos canais de mídia”, diz Krishnan. “No entanto, isso não significa que [Adhubllka] não crescerá nos próximos tempos, pois eles já fizeram as atualizações necessárias em sua infraestrutura.”
Na verdade, no futuro, os pesquisadores prevêem que este ransomware poderá ser renomeado com outros nomes; outros grupos também podem usá-lo para lançar suas próprias campanhas de ransomware.
“No entanto, desde que o autor da ameaça não mude o seu modo de comunicação, seremos capazes de rastrear todos esses casos até à família Adhubllka”, diz Krishnan.
Chaves para identificação
Na verdade, a chave que os pesquisadores usaram para vincular a última campanha ao Adhubllka foi rastrear domínios Tor anteriormente vinculados usados pelo ator, com a equipe descobrindo pistas na nota de resgate enviada às vítimas para rastreá-la até a fonte.
Na nota, o autor da ameaça pede às vítimas que se comuniquem através de um portal de vítimas baseado em Tor para obter chaves de descriptografia após o pagamento do resgate. A nota indicava que o grupo mudou seu canal de comunicação de URLs Tor Onion v2 para URL Tor v3, “porque a comunidade Tor descontinuou os domínios Onion v2”, de acordo com a postagem.
Além disso, uma frase adicional na nota – “o servidor com seu descriptografador está em uma rede Tor fechada” – só foi vista em duas novas variantes do Adhubllka: TZW e U2K, de acordo com os pesquisadores, o que restringiu ainda mais a atribuição.
Outras pistas que apontavam claramente para a variante mais recente do Adhubllka foram o uso do endereço de e-mail pr0t3eam@protonmail.com pela campanha , amplamente divulgado como pertencente ao grupo de ransomware, e seu link para a amostra da variante MD5 do Adhubllka detectada em 2019.
A pesquisa geral demonstra como o ransomware é cuidadosamente elaborado para tirar os caçadores de ameaças do rastro dos cibercriminosos, reforçando a importância da defesa contra ataques por meio da criação de uma solução de segurança de endpoint, diz Krishnan.
“No entanto, quando um ransomware é recém-formado/codificado, ele só pode ser frustrado por meio de educação básica em segurança, como não clicar em links maliciosos entregues por e-mail”, diz ele.
Na verdade, as proteções mais importantes para as organizações consistem em evitar que o ransomware entre em um ambiente, “o que significa procurar anomalias de comportamento, aumento de privilégios e introdução de mídia removível suspeita em um ambiente”, acrescenta Krishnan.
FONTE: DARKREADING