[bsa_pro_ad_space id=3 delay=8]

Especialistas avaliam os riscos do novo ransomware Pandora

A Pandora contém todos os principais recursos que geralmente são encontrados em amostras de ransomware de próxima geração. O nível de ofuscação para desacelerar a análise é mais avançado do que o do malware médio

Compartilhar:

Na mitologia grega, a abertura da caixa de Pandora introduziu coisas terríveis no mundo. Isso também pode ser dito sobre os ataques de ransomware que ocorrem hoje e o recém-surgido ransomware Pandora não é exceção. Ele rouba dados da rede, criptografa os arquivos da vítima e libera os dados roubados se a vítima optar por não pagar. Os analistas do laboratório de inteligência de ameaças da Fortinet, FortiGuard Labs, estão investigando esse ransomware para descobrir quais mistérios ela contém e onde ele pode chegar.

 

O grupo de ransomware Pandora emergiu do já lotado campo de ransomware em meados de fevereiro de 2022 e visa redes corporativas para obter ganhos financeiros. O grupo recebeu publicidade recente depois de anunciar que adquiriu dados de um fornecedor internacional da indústria automotiva. O incidente foi uma surpresa, pois o ataque ocorreu duas semanas depois que outro fornecedor automotivo foi atingido por um ransomware desconhecido, resultando em uma das maiores montadoras do mundo suspendendo as operações da fábrica.

 

O grupo de ameaça usa o método de dupla extorsão para aumentar a pressão sobre a vítima. Isso significa que eles não apenas criptografam os arquivos da vítima, mas também os exfiltram e ameaçam liberar os dados se a vítima não pagar.

 

O grupo Pandora tem um site de vazamento na Dark Web (rede TOR), onde anuncia publicamente suas vítimas e as ameaça com vazamento de dados. Existem atualmente três vítimas listadas no site do vazamento (veja a Figura 1), uma agência imobiliária com sede nos EUA, uma empresa de tecnologia japonesa e um escritório de advocacia dos EUA.

 

Fluxo de execução de malware

 

O FortiGuard Labs analisou uma amostra de malware Pandora, incluída em um arquivo Windows PE de 64 bits. O malware analisado segue esses passos:

 

1) Descompactar: O malware está empacotado, então o primeiro passo é descompactar o conteúdo real na memória do dispositivo.

 

2) Mutex: Cria um mutex para possibilitar que um thread de programa múltiplo faça uso deste único recurso.

 

3) Desativar os recursos de segurança: pode excluir as cópias instantâneas do Windows.

 

4) Coletar informações do sistema: Usado para coletar informações sobre o sistema local.

 

5) Carregar chave pública codificada: Uma chave pública é codificada no malware para configurar a criptografia.

 

6) Armazenar as chaves privada e pública no registro: Uma chave privada é gerada e tanto a chave pública criptografada quanto a chave privada recém-gerada são armazenadas no registro.

 

7) Drive Search: Procura por drives desmontados no sistema e os monta para criptografá-los também.

 

8) Configuração multi-thread: o malware usa threads de trabalho para distribuir o processo de criptografia.

 

9) Enumerar sistema de arquivos: Os threads de trabalho começam a enumerar os sistemas de arquivos das unidades identificadas.

 

10) Soltar nota de resgate: A nota de resgate é lançada em todas as pastas.

 

11) Verificar lista de nomes de arquivos: Para cada arquivo e pasta, é verificada uma lista de nomes de arquivos/pastas. Se o arquivo/pasta estiver na lista, ele não será criptografado.

 

12) Verificar a lista de extensões de arquivos: Cada arquivo é verificado em relação a uma lista de extensão de arquivo. Se a extensão estiver listada, ela não será criptografada.

 

13) Desbloquear arquivo: Se o arquivo estiver bloqueado por um processo em execução, o malware tentará desbloqueá-lo usando o Windows Boot Manager.

 

14) Criptografar Arquivo: Os threads de trabalho irão criptografar o arquivo e gravá-lo de volta no arquivo original.

 

15) Renomear arquivo: Após a conclusão da criptografia, os arquivos são renomeados para “[original-name].pandora”

 

Um dos aspectos mais significativos do ransomware Pandora é o uso extensivo de técnicas de engenharia reversa para contornar os controles de segurança. Isso não é novidade para malware, mas o Pandora está no lado extremo do que é gasto para desacelerar a verificação.

 

Esta amostra de ransomware Pandora foi detectada e analisada pela assinatura AV: W64/Filecoder.EGYTYFD!tr.ransom

 

Conclusão

 

O ransomware Pandora contém todos os principais recursos que geralmente são encontrados em amostras de ransomware de próxima geração. O nível de ofuscação para desacelerar a análise é mais avançado do que o do malware médio. Esse grupo de invasores cibernéticos também prestou atenção ao desbloqueio de arquivos para garantir a máxima cobertura de criptografia, enquanto ainda permitia que o dispositivo funcionasse.

 

Atualmente, não há evidências de que o Pandora opere como Ransomware-as-a-Service (RaaS), mas o investimento de tempo na complexidade do malware pode indicar que eles estão se movendo nessa direção a longo prazo. Os ataques e vazamentos atuais podem ser uma maneira de se destacar no campo do ransomware, para que eles possam adotar o modelo RaaS mais tarde de forma mais lucrativa. É preciso estar atento e bem preparados com tecnologia avançada de detecção, prevenção e resposta, pois a Pandora continuará desenvolvendo suas capacidades.

 

Conteúdos Relacionados

Security Report | Overview

ANPD é formalizada como coordenadora do Sistema Nacional de Inteligência Artificial

Como órgão de coordenação do SIA, a ANPD receberá novas atribuições. Caberá à Autarquia representar o Brasil perante organismos internacionais,...
Security Report | Overview

Nova ameaça do AllaSenha no Brasil faz setor financeiro entrar em alerta

Novo método de ataque, baseado em infecção de scripts Python e uso de plataforma Azure como Comando e Controle tem...
Security Report | Overview

95% das empresas têm problemas de segurança nas APIs, apura novo relatório

Relatório Salt Security State of API destaca ecossistemas de API em rápido crescimento, o aumento da atividade de ataques e...
Security Report | Overview

Laboratório de threat intel detecta roubo de credenciais em quase 800 empresas globais

O grupo Sophos X-Ops, focado em pesquisas no cenário cibercriminoso internacional, detectou uma nova campanha de comprometimento de credenciais válidas...