Grupo de threat intel detecta novo ransomware financeiro na América Latina

De acordo com análise da Cisco Talos, o BabyLockerKZ é uma variante da família de malwares MedusaLocker, e registrou aumento significativo de ataques na região latino-americana, após operar largamente na Europa

Compartilhar:

Um novo levantamento da Cisco Talos – braço de inteligência da Cisco em nível global – aponta para a descoberta de uma variante do ransomware MedusaLocker. Conhecido como “BabyLockerKZ”, esse malware foi criado com motivações financeiras e registrou um aumento significativo no número de ataques na Europa, entre final de 2022 e início de 2023. Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou, e os cibercriminosos mudaram seu foco para países da América Latina, como México, Brasil, Argentina e Colômbia.

 

O levantamento da Cisco Talos aponta que os ataques mantiveram um volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.

 

Ainda segundo a Cisco Talos, esse malware tem comprometido muitas corporações de forma consistente. Geralmente foram mais de 100 vítimas por mês, desde 2022. Para o braço de inteligência da Cisco, isso revela a natureza profissional e altamente agressiva dos ataques.

 

Característica do malware
Segundo o estudo, uma característica dessa variante é o fato de ser compilada com um caminho PDB que tem a presença da palavra “paid_memes”. O “BabyLockerKZ” tem diferenças significativas se comparadas à versão clássica do “MedusaLocker”.

 

Entre elas, estão as modificações na execução automática e a utilização de chaves adicionais armazenadas no registro. Esse fator, em especial, reforça o profissionalismo e a precisão dos cibercriminosos em seus ataques.

 

Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos com esse malware é puramente financeiro. Para isso, esse invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins). Neste último caso, trata-se de um conjunto criado pelo mesmo desenvolvedor do “BabyLockerKZ” para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas.

 

Pasta de usuários usadas nos ataques
O estudo da Cisco Talos destaca ainda que o ataque responsável pela implantação desse malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário “Music”, “Pictures” ou “Documents” de sistemas comprometidos para armazenar os mecanismos de ataque.

 

A seguir, os caminhos adotados:

– c:\usuários\\música\scanner_de_portas_avançado_2.5.3869.exe

– c:\usuários\\música\hrsword\hrsword install.bat

– c:\usuários\\music\killav\build.004\disabler.exe

– c:/usuários//music/checker/checker(222).exe

– c:/users//music/checker/invoke-thehash.ps1

– c:/usuários//music/checker/checker (222).exe

– c:/users//music/checker/invoke-smbexec.ps1

– c:/users//music/checker/invoke-wmiexec.ps1

– c:/users//appdata/roaming/ntsystem/ntlhost.exe.exe

– c:/users//appdata/local/temp/advanced port scanner 2/advanced_port_scanner.exe

– c:/users//appdata/local/temp/is-juad3.tmp/advanced_port_scanner_2.5.3869.tmp

 

Conteúdos Relacionados

Security Report | Overview

Conectividade do programa Goiás de Fibra contará com infraestrutura própria de Segurança

Projeto envolve a instalação de mais de 10 mil quilômetros de fibra óptica e contará com a tecnologia de segurança...
Security Report | Overview

Trabalho híbrido deve demandar novas estratégias de acesso, indica análise

A Check Point Software observa que muitas infraestruturas de VPN, atualmente, já operam em média com 85% da capacidade, especialmente...
Security Report | Overview

Holambra Agroindustrial aumenta precisão da Segurança por meio de parceria

Uso de firewalls as a service SonicWall e da solução de proteção de endpoints SonicWall Capture Client facilitou padronização da...
Security Report | Overview

10% dos ambientes de cloud pública arquivam dados confidenciais

Relatório destaca a necessidade urgente de gerenciamento unificado de exposição à nuvem para conter vazamento de informações e reduzir risco...