Ir para conteúdo
  • Cadastre-se

O PureLocker Ransomware pode bloquear arquivos no Windows, Linux e macOS


DELTA SERVERS

Posts Recomendados

purelocker-ransomware_deltaservers.png

O Ransomware PureLocker está evoluindo cada vez mais. Atualmente o Ransomware pode bloquear arquivos na plataforma do Windows, Linux e macOS. Vejam todos os detalhes de como se prevenir aqui.

Os cibercriminosos desenvolveram um Ransomware que pode ser portado para todos os principais sistemas operacionais, e atualmente está sendo usado em ataques direcionados a servidores de produção.

O novo nome é PureLocker. Pesquisadores de Malware analisaram amostras do Windows, mas uma variante do Linux também está sendo usada em ataques.

Construído para evitar a detecção;

O Malware foi cuidadosamente projetado para evitar a detecção, ocultando comportamentos mal-intencionados ou duvidosos em ambientes SandBox, posando como a biblioteca criptográfica Crypto ++ e usando as funções normalmente vistas nas bibliotecas para reprodução de música.

Por exemplo, se o Malware determinar que está sendo executado em um ambiente de depurador, ele sai imediatamente. Além disso, a carga se exclui após a execução.

Isso permitiu que o PureLocker permanecesse no radar por meses seguidos. Nas últimas três semanas, o PureLocker evitou quase totalmente a detecção de mecanismos antivírus no VirusTotal.

imagem-01.png

O nome do Ransomware deriva da linguagem de programação em que está escrito, PureBasic, uma escolha incomum que oferece alguns benefícios, dizem os pesquisadores em um relatório.

"Os fornecedores de antivírus têm problemas para gerar assinaturas de detecção confiáveis para binários PureBasic. Além disso, o código PureBasic é portátil entre Windows, Linux e OS-X, facilitando o direcionamento de diferentes plataformas".

Criptografia adiciona extensão .CR1;

No que diz respeito à criptografia de arquivos, o PureLocker não é diferente de outros Ransomware. Ele usa os algoritmos AES e RSA e não deixa opção de recuperação excluindo as cópias de sombra.

O Malware não bloqueia todos os arquivos em um sistema comprometido, evitando executáveis. Os itens criptografados são fáceis de reconhecer pela extensão .CR1 que é anexada após o processo.

Uma nota de resgate é deixada na área de trabalho do sistema em um arquivo de texto chamado "YOUR_FILES". Nenhuma quantia é dada no resgate; em vez disso, as vítimas precisam entrar em contato com os cibercriminosos em um endereço de e-mail da Proton, um endereço diferente para cada compromisso.

imagem-02.png

Os pesquisadores notaram que a string "CR1" está presente não apenas na extensão dos arquivos criptografados, mas também na nota de resgate e nos endereços de e-mail.

Uma teoria é que a cadeia é específica para o afiliado que espalha essas amostras específicas, pois o PureLocker é um negócio de Ransomware como serviço.

Reutilização de código de Malware Cobalt e FIN6;

Pesquisadores da Intezer e da IBM X-Force dizem que o PureLocker está no mercado há vários meses e reutiliza códigos de um Backdoor chamado "More_Eggs", disponível na Dark web de um provedor de Malware experiente; o Backdoor também é conhecido como Terra Loader e SpicyOmelette. A análise do Ransomware mostrou que ele usa código de vários binários maliciosos usados pelo Cobalt Group que se concentra em atacar instituições financeiras.

imagem-03.png

Os pesquisadores determinaram que partes de um componente específico usado pelo cobalto no terceiro estágio de um ataque estão presentes no PureLocker. É o carregador JScript para o backdoor "more_eggs", descrito por pesquisadores de segurança da Morphisec.

Em pesquisas anteriores, a IBM X-Force revelou que o FIN6, outro grupo de criminosos cibernéticos direcionado a organizações financeiras, também usava o kit de Malware "more eggs".

A maior parte do código no PureLocker é única. Isso sugere que o Malware é um novo ou uma ameaça existente que foi fortemente modificada.

Reutilizar o código de outro Malware é o que ajudou esse Ransomware a manter um perfil baixo e a não acionar alertas antivírus o tempo todo. Detalhes sobre suas vítimas e demandas de resgate são desconhecidos no momento, mas agora que ele chegou ao radar dos pesquisadores, o PureLocker definitivamente receberá mais atenção da comunidade de informações.

Comente abaixo para sabermos qual é a sua opinião em relação a essa atividade cibercriminosa.

Editado por DELTA SERVERS

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?