Uma mudança de linguagem de programação e a adição de novos recursos pode tornar os ataques da gangue de ransomware Hive contra sistemas Linux mais eficazes. Seguindo os passos de outro bando, o BlackCat, os criminosos estariam adotando Rust como o novo caminho para o desenvolvimento de pragas, enquanto elaboram sistemas que tornam a engenharia reserva e o acompanhamento de negociações com as vítimas mais difíceis para os especialistas em segurança.
A ideia por trás da atualização seria tornar a praga mais furtiva e menos detectável por softwares de segurança, ampliando também seu alcance em meio a soluções de acesso remoto e máquinas virtuais, com sistemas dedicados de travamento de arquivos. O foco segue nos servidores Linux, principalmente nas máquinas virtuais VMware ESXi que estão se tornando cada vez mais presentes no mercado corporativo, devido às suas capacidades de economia de recursos e consolidação de infraestrutura.
Outra mudança importante, além da nova linguagem de programação, está na forma como o Hive está lidando com links para negociação de resgate, com o acesso às páginas correspondentes na rede Tor não mais estando presente no código-fonte do ransomware. Em vez disso, ele fica disponível apenas na nota de sequestro exibida após um comprometimento bem-sucedido, com logins e senhas de acesso devendo ser passadas por meio de linha de comando, a partir do próprio malware.
Anteriormente, links e credenciais de acesso, que deveriam ser exclusivas das vítimas, eram passadas pelo executável responsável pela criptografia dos arquivos. Isso acabou azedando algumas das negociações propostas pelo Hive, já que especialistas em segurança também tinham acesso à infraestrutura, com o novo método tornando o acompanhamento de valores pagos e tratativas mais difícil de se acompanhar.
Esse também é um método utilizado pela gangue BlackCat em suas operações de ransomware, com as similaridades deixando clara a inspiração do Hive no bando. De acordo com Rivitna, pesquisa em segurança digital da Group-IB, as semelhanças entre os códigos estão se tornando tamanhas que alguns sistemas antivírus chegam a confundir as novas amostras. Aqui, novamente, um foco de atenção dos especialistas, já que, apesar disso, as quadrilhas agem de maneiras diferentes e, sendo assim, exigem atenção redobrada e individual.
Enquanto os ataques usando as novas amostras em Rust parecem estar começando a acontecer, a recomendação de atenção aos administradores de rede, estejam eles à frente de sistemas Linux ou Windows. Enquanto apenas amostrar do primeiro foram detectadas, a ideia é que deve ser apenas uma questão de tempo até que o segundo sistema também passe a ser alvo de tais tentativas de exploração.
FONTE: CANALTECH