A ISH Tecnologia divulga um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de fevereiro. No último mês, destacaram-se uma campanha fraudulenta de oportunidades de emprego com criptomoedas, que serve como fachada para o disparo de um malware, além de novos grupos de ransomware, com as mais variadas formas de atuação. Confira:
Enigma Infostealer
Os pesquisadores identificaram uma campanha ativa que se utiliza de um falso pretexto de oportunidades de emprego no setor de criptomoedas, que tem como real objetivo a instalação e propagação de um malware, conhecido como Enigma.
A infecção se inicia com o envio de um anexo de tipo RAR, que possui dois arquivos, denominados “perguntas da entrevista” e “condições de entrevista”. O arquivo de perguntas aparenta ser legítimo, com questões como “como surgiu seu interesse em criptomoedas?”, ou “quais os riscos de se investir nesse mercado?”
Isso, no entanto, serve apenas para legitimar os arquivos, e desviar a atenção das vítimas do segundo documento. Este, malicioso, inicia a execução do malware, um infostealer que pode roubar informações como senhas e dados bancários. Uma vez executado, o loader do Enigma inicia o registro, e parte para o próximo estágio do ataque.
Vis Vendetta – antigo ransomware repaginado
O monitoramento da ISH de sites de operadores de ransomware revelou uma movimentação do já conhecido ransomware Cuba, que arrecadou mais de 60 milhões de dólares em pedidos de resgate em 2022, atuando sob um novo nome, “Vis Vendetta”.
O Cuba se tornou notório por não informar às vítimas que foram invadidas, e disponibilizar alguns dados roubados para download gratuito. Seus principais alvos foram instituições ligadas a Finanças, Saúde e Tecnologia da Informação, além de instalações governamentais.
A Inteligência da ISH acredita que se trata de um projeto antigo sendo retomado por alguns fatores: o domínio utilizado é o mesmo, e a página redirecionada utiliza o mesmo método de descrição das vítimas, exibindo figuras do personagem da obra “V de Vingança”, em vez de figuras políticas cubanas, como era feito anteriormente.
Cl0p
Em dezembro de 2022, foi identificado pela primeira vez uma variante do já conhecido ransomware Cl0p, supostamente envolvido num ataque ocorrido no fim do ano passado em uma universidade colombiana.
As versões utilizadas pelos operadores do Cl0p para Windows utilizam um gerador de números pseudoaleatórios para gerar uma chave de criptografia dos arquivos roubados. No entanto, na versão de Linux, foi detectada uma lógica defeituosa, que permite a recuperação total dos dados sem pagar por um descriptografador.
A empresa norte-americana de segurança SentinelOne conseguiu criar um êxito um arquivo em Python que realiza gratuitamente a descriptografia dos arquivos atingidos, e ela pode ser acessada aqui.
Nevada
Trata-se de uma nova família de ransomwares. Os atores por trás desse projeto possuem uma plataforma afiliada introduzida em fóruns, onde compartilham os detalhes do ataque, e buscam atrair novos afiliados.
Segundo a própria descrição do grupo, trata-se de um tipo de ataque que reúne “as melhores partes” de outras plataformas RaaS (ransomware as a service – ransomware como serviço) já encerrados, compilando-os para ressurgir como uma nova e mais perigosa ameaça.
Em um post nestes fóruns, um dos atores maliciosos detalhou as condições atraentes e competitivas para possíveis novos membros. 85% do valor roubado fica com o afiliado, podendo chegar a 90%.
