Uma nova família de ransomware acaba de ser descoberta por pesquisadores de segurança.
Chamado Diavol, o novo ransomware foi descoberto no início de junho, quando a Fortinet evitou um ataque de ransomware visando um de seus clientes. Depois de parar o ataque com sucesso, os pesquisadores isolaram dois arquivos que, naquela hora, não estavam presentes no VirusTotal: locker.exe e locker64.dll.
relacionado: DarkRadiation Ransomware alvos Linux e Docker Containers
“Embora pudéssemos identificar o locker64.dll como sendo um Conti (v3) ransomware, locker.exe parecia ser totalmente diferente. assim, vamos dizer olá a uma nova família de ransomware,”Os pesquisadores da Fortinet Dor Neeamni e Asaf Rubinfeld escreveram em sua análise detalhada. Eles acreditam que o novo ransomware pode ser atribuído a um grupo cibercriminoso específico conhecido como Wizard Spider.
O nome do ransomware vem de uma URL associada ao ataque dos pesquisadores analisado. Diavol significa “diabo”.
Uma olhada dentro do Diavol Ransomware
O ransomware Diavol deixa cair uma nota de resgate em um formato de texto em todas as pastas do sistema comprometido. A nota afirma que os invasores roubaram dados do sistema da vítima. Contudo, os pesquisadores não descobriram uma amostra para provar que, portanto, esta afirmação pode ser um blefe ou um espaço reservado para capacidades futuras, Fortinet disse.
O ransomware usa um “procedimento de criptografia bastante único,”Usando chamadas de procedimento assíncrono de modo de usuário (APCs) sem um algoritmo de criptografia simétrica. "Geralmente, autores de ransomware visam completar a operação de criptografia no menor tempo possível. Os algoritmos de criptografia assimétricos não são a escolha óbvia, pois são significativamente mais lentos do que os algoritmos simétricos,”O relatório observou.
Como o ransomware Diavol penetrou no sistema? O método de intrusão ainda não foi descoberto. Uma vez que os pesquisadores encontraram alguns erros na configuração codificada, eles acreditam que o ransomware Diavol é “uma nova ferramenta no arsenal de seus operadores com a qual eles ainda não estão totalmente acostumados”.
diabo: possivelmente o trabalho do grupo cibercriminoso Wizard Spider
Há evidências suficientes para apoiar a possibilidade de que a nova ameaça seja obra do grupo Aranha Mágica. Os pesquisadores encontraram mais payloads Conti locker.exe na rede, fortalecendo essa possibilidade.
“Apesar de algumas semelhanças entre o Diavol, Conti, e outros ransomware relacionados, ainda não está claro, Contudo, se há uma ligação direta entre eles,”O relatório concluiu. Mais, existem algumas outras diferenças importantes em relação aos ataques anteriormente ligados ao Wizard Spider, como a falta de verificações para garantir que a carga útil não seja executada nas vítimas russas, e a falta de evidências de extorsão dupla.
Julho passado, pesquisadores de segurança descobriram que o Conti ransomware é mais avançado do que a maioria das famílias de ransomware. O ransomware parecia ser programado com compatibilidade de hardware estendida, permitindo que ele estenda seu processamento por vários núcleos de CPU. As amostras analisadas foram capazes de abranger até 32 threads ao mesmo tempo, o que corresponde à extremidade superior dos processadores de desktop e servidor atualmente disponíveis.
O Conti ransomware parece ter sido criado como uma ferramenta de hacking para invasões em agências governamentais e grandes organizações. Esses tipos de sistemas e redes são mais propensos a hospedar servidores e máquinas com peças de hardware, como essas CPUs de alto desempenho.