GandCrab: tudo sobre o ransomware do momento
O ransomware conhecido como GandCrab é, por enquanto, o ransomware mais prolífico em circulação. De muitas maneiras, sua operação é muito semelhante a outros ransomwares, mas seu modelo de negócio parece tê-lo impulsionado.
O GandCrab apareceu há pouco mais de um ano, promovido em sites públicos, mas vendido exclusivamente pela Dark Web. O pesquisador de segurança independente, David Montenegro, foi o primeiro a encontrá-lo. Naquela época, ele estava sendo distribuído pelo kit de exploração RIG, sendo usado em uma campanha de malvertising, aproveitando as redes de anúncios em banner para entregar o código malicioso à visitantes desavisados em sites públicos.
Desde então, o ransomware desenvolveu um grande grupo de clientes e, infelizmente, também um grande número de vítimas. Os autores acompanharam o ritmo de uma equipe de especialistas em criptografia trabalhando para a Europol e a Bitdefender, onde lançaram várias ferramentas de descriptografia e continuam lançando versões atualizadas do malware, ultrapassando os recursos do decodificador toda vez que um novo decifrador chega às ruas.
O ransomware, talvez, deva parte de seu sucesso inicial ao seu esquema exclusivo de licenciamento de software, que os criadores chamaram de Dashboard Essential e se tornou amplamente conhecido como ransomware-as-a-service. Por US$100,00, criminosos poderiam construir um feudo em quadrilha de até 200 vítimas em um período de dois meses, trabalhando até ganhar o suficiente para pagar por serviços e recursos de maior valor.
Em sua essência, os criadores do GandCrab elaboraram um esquema de máfia criminal
Como eles conseguiram isso?
Inicialmente entregue via kit de exploração RIG, uma vez que os licenciados começassem a usar o ransomware, eles escolhiam qualquer método de distribuição que melhor atendesse. Cerca de um mês depois, um spam malicioso começou a aparecer com documentos mal-intencionados que, quando abertos, entregavam o GandCrab às vítimas.
O malware em si usa uma abordagem inteligente e sem conteúdo para se executar e criptografa os arquivos da vítima. Um Maldoc gera o código do PowerShell que se parece com este exemplo:
Comando GandCrab gerado no PowerShell
Esta instância do PowerShell está direcionada a um arquivo hospedado em um site público de alta reputação, como o Pastebin, mas também identificado em domínios maliciosos. O arquivo contém o código PowerShell baseado em .Net que chama um módulo chamado “Invoke-GandCrab” (naturalmente), que, nesse ponto, já está carregado na memória da máquina da vítima.
O que torna este ataque especial e único é a sua capacidade de ser executado sem arquivo. Para conseguir isso, os autores utilizaram um recurso chamado Reflective PE Injection, disponibilizado em um repositório de código do Github chamado PowerSploit, para injetar o binário do GandCrab na memória em execução do PowerShell. Na Injeção Reflective PE, o PowerShell é feito para carregar o ransomware diretamente da memória e nunca gravar uma cópia de seu PE no disco. Esta é uma contramedida eficaz para o antivírus tradicional, que não seria capaz de detectar ou limpar o arquivo malicioso (erroneamente ausente).
Variantes mais recentes do GandCrab estão se espalhando por meio de vulnerabilidades conhecidas (incluindo o Fallout Exploit Kit, que só recentemente apareceu na natureza), e o resto dos “suspeitos usuais”, variedades de Trojans. Como o Ryuk e o SamSam, alguns provedores de GandCrab atacam as vulnerabilidades do JBoss, do Oracle Fusion e do WebLogic e do Tomcat para se espalharem pelas redes corporativas. Os scripts do PowerShell também são codificados, embora executem a mesma função de antes; Eles simplesmente não são legíveis para humanos. O tráfego de ataque direcionado ao Oracle WebLogic na porta 7001 / tcp agora faz parte da radiação de segundo plano da Internet. Os invasores nunca pararão de procurar ativamente na Internet por essa porta.
Como funciona?
Os criadores do GandCrab lançam atualizações frequentes. Estas notas referem-se à versão 5.0.5. O malware verifica se há um mutex no início. Se encontrar, o programa será encerrado. No nosso caso, o mutex ficou assim:
O malware também para e não causa danos se as configurações de idioma do seu computador estiverem configuradas para qualquer uma dessas IDs de idioma específico.
Meu computador mudou-se para San Salvador
O malware envia um perfil do hardware, sistema operacional e outras informações de volta para casa
Informações de perfil do sistema GandCrab envia para o seu C2
O GandCrab usa muitas listas. Ele mata o processo de alguns programas para criptografar corretamente os arquivos de dados que eles podem ter aberto. É claro que tem uma lista de destino com tipos de arquivos criptografados e caminhos para whitelist. Exclui a Cópia de Sombra de Volume das unidades e enumera todas as letras de unidade montadas.
A criptografia demora um pouco para ser concluída, dependendo de quão cheio é o drive. Ferramentas de descriptografia gratuitas foram liberadas para algumas versões do GandCrab, mas os autores rapidamente atualizam para outra versão, e as ferramentas de descriptografia param de funcionar. Todas as notas de resgate incluem uma chave GandCrab que você deve fornecer se atender sua demanda de pagamento.
A chave GandCrab identifica exclusivamente o franqueado ransomware
Quanto você tem que pagar?
Nota de resgate GandCrab com membros do pelotão de Spongebob
O modelo de negócios do GandCrab dá ao franqueado a opção de escolher o valor do resgate, entre outras características. Algumas vítimas relatam resgates tão baixos quanto $300, mas eles podem correr uma ordem de magnitude maior.
O GandCrab tende a se comunicar com uma grande variedade do que parecem ser sites hackeados que executam o WordPress. Transmite dados em solicitações GET para arquivos com extensões de arquivos de imagem (jpg, png, gif, bmp)
Leia também: Ataque de ransomware GandCrab atinge hospital
