Na mitologia grega, a abertura da caixa de Pandora introduziu coisas terríveis no mundo. Isso também pode ser dito sobre os ataques de ransomware que ocorrem hoje e o recém-surgido ransomware Pandora não é exceção. Ele rouba dados da rede, criptografa os arquivos da vítima e libera os dados roubados se a vítima optar por não pagar. Os analistas do laboratório de inteligência de ameaças da Fortinet, FortiGuard Labs, estão investigando esse ransomware para descobrir quais mistérios ela contém e onde ele pode chegar.
O grupo de ransomware Pandora emergiu do já lotado campo de ransomware em meados de fevereiro de 2022 e visa redes corporativas para obter ganhos financeiros. O grupo recebeu publicidade recente depois de anunciar que adquiriu dados de um fornecedor internacional da indústria automotiva. O incidente foi uma surpresa, pois o ataque ocorreu duas semanas depois que outro fornecedor automotivo foi atingido por um ransomware desconhecido, resultando em uma das maiores montadoras do mundo suspendendo as operações da fábrica.
O grupo de ameaça usa o método de dupla extorsão para aumentar a pressão sobre a vítima. Isso significa que eles não apenas criptografam os arquivos da vítima, mas também os exfiltram e ameaçam liberar os dados se a vítima não pagar.
O grupo Pandora tem um site de vazamento na Dark Web (rede TOR), onde anuncia publicamente suas vítimas e as ameaça com vazamento de dados. Existem atualmente três vítimas listadas no site do vazamento (veja a Figura 1), uma agência imobiliária com sede nos EUA, uma empresa de tecnologia japonesa e um escritório de advocacia dos EUA.
Fluxo de execução de malware
O FortiGuard Labs analisou uma amostra de malware Pandora, incluída em um arquivo Windows PE de 64 bits. O malware analisado segue esses passos:
1) Descompactar: O malware está empacotado, então o primeiro passo é descompactar o conteúdo real na memória do dispositivo.
2) Mutex: Cria um mutex para possibilitar que um thread de programa múltiplo faça uso deste único recurso.
3) Desativar os recursos de segurança: pode excluir as cópias instantâneas do Windows.
4) Coletar informações do sistema: Usado para coletar informações sobre o sistema local.
5) Carregar chave pública codificada: Uma chave pública é codificada no malware para configurar a criptografia.
6) Armazenar as chaves privada e pública no registro: Uma chave privada é gerada e tanto a chave pública criptografada quanto a chave privada recém-gerada são armazenadas no registro.
7) Drive Search: Procura por drives desmontados no sistema e os monta para criptografá-los também.
8) Configuração multi-thread: o malware usa threads de trabalho para distribuir o processo de criptografia.
9) Enumerar sistema de arquivos: Os threads de trabalho começam a enumerar os sistemas de arquivos das unidades identificadas.
10) Soltar nota de resgate: A nota de resgate é lançada em todas as pastas.
11) Verificar lista de nomes de arquivos: Para cada arquivo e pasta, é verificada uma lista de nomes de arquivos/pastas. Se o arquivo/pasta estiver na lista, ele não será criptografado.
12) Verificar a lista de extensões de arquivos: Cada arquivo é verificado em relação a uma lista de extensão de arquivo. Se a extensão estiver listada, ela não será criptografada.
13) Desbloquear arquivo: Se o arquivo estiver bloqueado por um processo em execução, o malware tentará desbloqueá-lo usando o Windows Boot Manager.
14) Criptografar Arquivo: Os threads de trabalho irão criptografar o arquivo e gravá-lo de volta no arquivo original.
15) Renomear arquivo: Após a conclusão da criptografia, os arquivos são renomeados para “[original-name].pandora”
Um dos aspectos mais significativos do ransomware Pandora é o uso extensivo de técnicas de engenharia reversa para contornar os controles de segurança. Isso não é novidade para malware, mas o Pandora está no lado extremo do que é gasto para desacelerar a verificação.
Esta amostra de ransomware Pandora foi detectada e analisada pela assinatura AV: W64/Filecoder.EGYTYFD!tr.ransom
Conclusão
O ransomware Pandora contém todos os principais recursos que geralmente são encontrados em amostras de ransomware de próxima geração. O nível de ofuscação para desacelerar a análise é mais avançado do que o do malware médio. Esse grupo de invasores cibernéticos também prestou atenção ao desbloqueio de arquivos para garantir a máxima cobertura de criptografia, enquanto ainda permitia que o dispositivo funcionasse.
Atualmente, não há evidências de que o Pandora opere como Ransomware-as-a-Service (RaaS), mas o investimento de tempo na complexidade do malware pode indicar que eles estão se movendo nessa direção a longo prazo. Os ataques e vazamentos atuais podem ser uma maneira de se destacar no campo do ransomware, para que eles possam adotar o modelo RaaS mais tarde de forma mais lucrativa. É preciso estar atento e bem preparados com tecnologia avançada de detecção, prevenção e resposta, pois a Pandora continuará desenvolvendo suas capacidades.