A técnica de desvio de ransomware RIPlace, descoberto por pesquisadores de segurança em novembro 2019, foi implementado agora pela família Thanos ransomware.
Este é o primeiro caso de RIPlace sendo utilizado pelo ransomware. A técnica baseia-se em apenas algumas linhas de código para sucesso iludir embutido recursos de proteção de ransomware, presente em soluções de segurança e do Windows 10.
O programa de afiliados da Thanos agora inclui o desvio do RIPlace
O ransomware Thanos vem se desenvolvendo sob o modelo de ransomware como serviço, e vem ganhando popularidade em fóruns clandestinos. Apesar de incluir esta técnica de desvio, o ransomware não exibe nenhum comportamento novo ou sofisticado. Contudo, a simplicidade do ransomware é a razão pela qual está ganhando popularidade entre os cibercriminosos.
O construtor Thanos permite que os afiliados do crime cibernético criem clientes de ransomware com várias opções, anunciado em seu programa de afiliados Ransomware. O construtor é oferecido como uma assinatura mensal ou vitalícia, diz Threatpost. A versão vitalícia da empresa inclui recursos adicionais, incluindo funcionalidades de roubo de dados, a técnica RIPlace, capacidades de movimento lateral. Pesquisadores de segurança observaram mais de 80 diferentes clientes oferecidos pelo Programa de Afiliados Thanos. O RIPlace pode ser ativado por opção, resultando na modificação do processo de criptografia para incluir a técnica de desvio.
relacionado: RIPlace Ransomware Proteção Bypass afeta o Windows, fornecedores de antivírus
Mais sobre o RIPlace
A técnica RIPlace foi descoberta no ano passado por vários pesquisadores de segurança da Nyotron - Daniel Prizmant, guy Meoded, Freddy Ouzan, e Hanan Natan. Os pesquisadores contataram fornecedores de segurança e Microsoft sobre o assunto. Contudo, aparentemente apenas dois fornecedores tomou as medidas necessárias para resolver a questão e assegurar o produto afetado.
As outras empresas pareciam acreditar que o RIPlace é um "não problema". empresas afetadas incluem nomes como Microsoft, Symantec, Sophos, negro de carbono, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, e armadilhas PANW. Kaspersky e negro de fumo são as únicas empresas que asseguraram seus produtos contra a técnica de bypass RIPlace. Contudo, a implementação atual do RIPlace em uma família de ransomware real prova que é realmente um problema que precisa de atenção.
Quanto ao ransomware Thanos, parece estar em desenvolvimento ativo. O ransomware tem recebido feedback positivo de cibercriminosos em fóruns clandestinos, o que significa que continuará sendo armado em ataques.