//Por que os cibercriminosos estão disfarçando os limpadores como ransomware?
ransomware

Por que os cibercriminosos estão disfarçando os limpadores como ransomware?

Limpadores disfarçados de ransomware

Há uma nova campanha de spam na cidade. Disfarçada como um pedido de emprego de uma pessoa chamada “Eva Richter”, a campanha visa infectar usuários de língua alemã com uma variedade de malware conhecida como Ordinypt.

O Ordinypt se assemelha ao seu ransomware comum, mas não contém nenhum mecanismo que permita aos usuários recuperar seus arquivos. Em vez disso, simplesmente substitui os dados, tornando-os permanentemente irrecuperáveis. A natureza destrutiva do Ordinypt significa que não há incentivo para as vítimas pagarem o ransomware , o que levanta a questão: qual é o sentido?

Como funciona a campanha de spam Ordinypt?

A campanha de spam Ordinypt visa pessoas de língua alemã com e-mails que parecem ser um pedido de emprego. Os e-mails são enviados a partir de “Eva Richter” e têm o assunto “Bewerbung via Arbeitsagentur – Eva Richter” (“Solicitação pelo escritório de emprego – Eva Richter”).

O corpo do email contém o seguinte texto (traduzido do alemão):

Caros senhores e senhoras,

Por meio deste, solicito a vaga oferecida por você na Agência de Emprego.

O campo de atividade que você descreve corresponde especialmente às minhas perspectivas de carreira. Os meus documentos de candidatura estão anexados.

Eu ficaria muito feliz com um convite para uma entrevista de emprego pessoal.

Com os melhores cumprimentos,

Eva Richter

Os e-mails contêm um arquivo zip anexado que pretende ser o currículo de Eva. Dentro do arquivo zip é um arquivo chamado “Eva Richter Bewerbung und Lebenslauf.pdf.exe”. Abrir este arquivo executa o malware Ordinypt, que aparentemente começa a criptografar arquivos da vítima e adiciona uma extensão para os arquivos criptografados.

Quando o processo estiver concluído, uma nota de resgate é criado. As vítimas nota instrui a fazer um pagamento em um local de Tor para receber um decoder, o que lhes permitirá recuperar seus arquivos. Nos exemplos vistos por BleepingComputer, a quantidade de resgate foi 0,145 BTC, ou cerca de US $ 1.500.

============================ BEM-VINDO ===================== ======= ============== NÃO APAGUE ESTE ARQUIVO ATÉ QUE TODOS OS SEUS DADOS tenham sido recuperados ! ==============

Todos os seus arquivos foram criptografados e agora têm a extensão: .MyyqA

A única maneira de recuperar seus arquivos é adquirir o nosso software de decodificador, que só funcionará no seu PC.

Para obter mais instruções sobre como descriptografar seus arquivos, faça o download do navegador TOR

==================================================== ======

1. Faça o download do Tor Browser em: https://www.torproject.org

2. Instale e abra o navegador TOR

3. Navegue até o seguinte URL: http://2u6gynsdszbd7ey3.onion/

4. Digite seu código de acesso

Seu código de acesso:

xxx

Copie e cole no campo de código de acesso

==================================================== ======

Aviso:

NÃO MODIFIQUE QUALQUER DOS ARQUIVOS CRIPTOGRAFADOS, nem tente de outro modo descriptografá-los

Você arrisca danificar os arquivos e vai perder seus arquivos para sempre!

Do processo de criptografia à nota de resgate, o Ordinypt possui todas as características do ransomware convencional. No entanto, isso é apenas um disfarce. Ordinypt é na verdade um limpador, uma classe de malware projetada para destruir arquivos. Os arquivos afetados pelo Ordinypt não podem ser recuperados; portanto, se você foi infectado com esse malware, não pague o resgate – você não poderá descriptografar os arquivos.

Os arquivos afetados pelo Ordinypt não podem ser recuperados; portanto, se você foi infectado com esse malware, não pague o resgate – você não poderá descriptografar os arquivos.

Qual é o objetivo?

Ordinypt não é o único limpador que vimos mascarando-se como ransomware recentemente. No início de agosto de 2019, a GermanWiper causou dores de cabeça às empresas alemãs, destruindo permanentemente os dados dos usuários e exigindo pagamentos de resgate. De fato, o malware destrutivo em geral parece estar se tornando mais comum, com a IBM relatando que sua equipe dos Serviços de Inteligência e Resposta a Incidentes X-Force registrou um aumento de 200% nos casos de malware destrutivo entre o segundo semestre de 2018 e o primeiro semestre de 2019.

O que os cibercriminosos podem ganhar ao disfarçar seu malware como ransomware?

O aspecto financeiro

Bem, provavelmente não estão nisso pelo dinheiro. Embora muitos ataques de ransomware envolvam um componente do limpador, o limpador é normalmente usado para extorsão – para destacar a situação da vítima. A ameaça de destruição permanente de dados atua como um forte incentivo para que as organizações paguem o resgate, o que resulta em mais lucros para os cibercriminosos. O ganho financeiro, e não a destruição aleatória, geralmente é o objetivo principal do ransomware, e os limpadores são usados ​​como um meio de atingir esse objetivo.

No caso do Ordinypt, a motivação é um pouco menos clara, mas uma coisa é certa: o ganho financeiro provavelmente não é o objetivo principal. O que torna o ransomware tão lucrativo é o fato de que os cibercriminosos geralmente sustentam o fim da barganha – ou seja, se a vítima pagar o resgate, os cibercriminosos enviarão a eles um decodificador que lhes permitirá recuperar seus arquivos. Com o Ordinypt e outros limpadores disfarçados de ransomware, as vítimas sabem que não têm chance de recuperar seus arquivos, então não há incentivo para sequer considerar pagar o resgate.

Perturbação econômica

Às vezes, o objetivo de ocultar os limpadores de ransomware é conseguir uma interrupção econômica em larga escala. Por exemplo, em 2017, após uma série de ataques de ransomware de alto perfil, o NotPetya foi lançado no mundo .

Inicialmente, o NotPetya parecia um ransomware convencional projetado para gerar o máximo de dinheiro possível, mas os pesquisadores de segurança rapidamente perceberam que algo estava errado. O rudimentar sistema de pagamento e comunicação do ransomware significava que o lucro a longo prazo nunca foi o objetivo principal.

Em vez disso, muitos especialistas em segurança acreditam que o Petya foi um malware destrutivo disfarçado de ransomware e foi criado por hackers militares russos para desestabilizar os sistemas financeiros na Ucrânia como parte do conflito em andamento nos países. No geral, o NotPetya gerou cerca de US $ 10.000 em pagamentos de resgate, mas causou mais de US $ 1 bilhão em perturbações econômicas .

Disfarçar o ataque

Fabian Wosar, diretor de tecnologia da Emsisoft, tem outra teoria. Ele acredita que os recentes ataques do limpador podem ter como objetivo um alvo específico, mas estão sendo distribuídos em campanhas de spam em larga escala, a fim de ocultar a identidade do alvo e, portanto, ocultar a identidade do atacante.

Por exemplo, pode parecer muito suspeito se um ex-funcionário insatisfeito quisesse se vingar, realizando um ataque singular à empresa individual que o demitiu recentemente. No entanto, se o mesmo ex-funcionário enviar o malware para dez mil organizações sob o disfarce de uma campanha de ransomware em massa, pode ser muito mais desafiador para as autoridades identificarem um suspeito.

É possível que os cibercriminosos adotem uma abordagem semelhante e usem campanhas de spam para ocultar seu verdadeiro alvo e, por associação, sua própria identidade.

Prevenção de ataques do limpador

Independentemente da motivação por trás desses ataques de limpadores disfarçados como ransomware, permanece o fato de que malware destrutivo representa uma séria ameaça para empresas de todo o mundo. Uma solução antivírus robusta , treinamento frequente da equipe e uma estratégia abrangente de recuperação de desastres são ingredientes essenciais para qualquer organização que deseje mitigar os efeitos do malware nos próximos meses.

Sou Analista de Sistemas Bacharel em Sistemas da Informação, Certificado MCTS 70-680 / MOS, Trabalho como Administrador de Redes e Servidores Windows e Linux! Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.