Depois do SamSam, Ryuk mostra que o ransomware direcionado ainda está evoluindo
Depois do SamSam, Ryuk mostra que o ransomware direcionado ainda está evoluindo
No mês passado, o mundo descobriu que o FBI acha que identificou as duas pessoas por trás dos notórios ataques de ransomware SamSam.
SamSam, você deve se lembrar, ganhou notoriedade por cobrar resgates de alvos vulneráveis, como hospitais, e por ataques devastadores como o que atingiu a cidade de Atlanta no início de 2018.
Como com outros ataques direcionados, o SamSam foi implantado manualmente depois que seus operadores invadiram uma rede vulnerável por meio de uma porta RDP mal protegida. Os ataques metódicos e pacientes da gangue SamSam os colocaram em posição de extorquir enormes resgates e os ajudaram a acumular quase US $ 7 milhões desde dezembro de 2015.
Como você pode esperar, as coisas estão um pouco quietas desde SamSam desde o indiciamento do FBI. Os suspeitos iranianos estão além do alcance da agência, mas foram identificados, sua operação foi comprometida e, pelo menos por enquanto, as atividades cessaram.
O desmascaramento seguiu um período de relativa calmaria em relação aos ataques do SamSam. Após a publicação de extensa pesquisa pela Sophos em agosto, os ganhos mensais da SamSam começaram a diminuir, mesmo quando a frequência de ataques parecia aumentar.
Agora SamSam parece ter deixado o palco, mas a marca de ataques destrutivos e furtivos que ele exemplificou não começou com SamSam e eles não terminaram com isso também. De fato, enquanto SamSam pode ter ganho infâmia, outros tipos de ransomware direcionados, como Dharma e BitPaymer, foram implementados de forma mais ampla, e exigiram resgates mais altos.
A ameaça do ransomware direcionado é desimpedida e continua a evoluir. Em agosto de 2018, quando a influência da SamSam começou a diminuir, surgiu uma nova linhagem de ransomware direcionado.
Ryuk
Ryuk, em homenagem a um personagem da série de mangá Death Note, representa uma evolução no ransomware que está aprendendo, construindo, roubando ou homenageando malwares anteriores.
O ransomware direcionado de todas as faixas parece ter convergido em um método que, infelizmente, funciona e é seguido pelo Ryuk.
Os responsáveis pelo ataque:
- Entram na rede da vítima por meio de uma senha fraca RDP (Remote Desktop Protocol).
- Escalonam seus privilégios até que eles sejam administradores.
- Usam de sua posição privilegiada para superar o software de segurança.
- Espalham seu ransomware o mais amplamente possível antes de criptografar os arquivos da vítima.
- Deixam notas exigindo pagamento em troca de descriptografar os arquivos.
- Esperam que a vítima entre em contato por email.
Hackers que usam ransomware direcionado trabalham duro para conseguir acesso de administrador, porque permite que o software cause muito dano – o suficiente para que muitas vítimas não tenham outra opção senão pagar resgates de cinco ou seis dígitos.
Como seus pares, a quadrilha por trás de Ryuk parece buscar alvos que possam pagar esse tipo de resgate de dar água na boca, e isso foi relatado em setores de mercado como commodities, manufatura e, de acordo com alguns relatórios, de saúde.
Quando é executado, Ryuk cai e executa sua carga antes de cobrir seus rastros, excluindo-se. O carga de pagamentos (payload) é encoberta injetando-se em processos executados pelo NT AUTHORITY, tendo o cuidado de evitar o csrss.exe, explorer.exe e lsass.exe.
Para maximizar o dano que ele pode causar, o malware tenta encerrar uma longa lista de processos e serviços, como os associados ao software de segurança, antes de iniciar a criptografia de arquivos.
A criptografia de Ryuk parece ser baseada no código encontrado em um ransomware antigo, conhecido como Hermes, que alguns acreditam ser um produto do grupo de hackers Lazarus da Coréia do Norte.
De acordo com o SophosLabs, ambas as famílias de ransomware: usam lógica de criptografia semelhante; use o mesmo marcador de arquivo para arquivos criptografados; use a mesma lista de permissões ao decidir quais diretórios não devem ser criptografados; e escreva um arquivo de script em lote chamado window.bat.
E, como Hermes, quando Ryuk terminou de criptografar os arquivos de um computador, ele tenta excluir qualquer cópia de sombra, eliminando a capacidade de restaurar arquivos antes do ataque.
Outro legado da Hermes é que Ryuk escreve a string HERMES nos arquivos criptografados, para que possa identificar quais arquivos já foram criptografados.
HERMES
Ao excluir diretórios com nomes como Chrome, Mozilla e Windows e arquivos com as extensões .dll, .lnk, .hrmlog, .ini ou .exe, a partir de sua criptografia, o malware deixa os navegadores da Web e os componentes básicos do sistema operacional intocados. As vítimas ficam com espaço suficiente para ler uma nota de resgate, comprar alguma criptomoeda e pagar um resgate, mas não muito mais que isso.
As notas de resgate são deixadas em toda a rede afetada em uma forma curta e longa, a mais curta das quais tem uma forte semelhança com as notas de resgate deixadas pelo ransomware BitPaymer.
