Para tudo, sempre há uma primeira vez. E os hackers estão cada vez mais sofisticados. Assim, agora, os cibercriminosos criam um trojan RansomEXX com versão exclusiva para Linux. Até então, ele era exclusivo do Windows. Portanto, a nova ameaça vai ajudar os hackers em invasões direcionadas aos sistemas Linux.
A descoberta é da empresa de segurança Kaspersky. O ransomware RansomEXX faz ataques bem específicos. O RansomEXX é uma cepa de ransomware relativamente nova que foi identificada pela primeira vez no início deste ano, em junho.
RansomEXX é um Trojan altamente direcionado. Cada amostra do malware contém um nome codificado da organização da vítima. Além disso, tanto a extensão do arquivo criptografado quanto o endereço de e-mail para contato com os extorsionários fazem uso do nome da vítima.
O ransomware foi usado em ataques contra o Departamento de Transportes do Texas, Konica Minolta, a empreiteira do governo dos EUA Tyler Technologies, o sistema de transporte público de Montreal e, mais recentemente, contra o sistema judiciário brasileiro, mais especificamente o Superior Tribunal de Justiça (STJ).
Como funciona o ataque
RansomEXX é o que os pesquisadores de segurança chamam de “caçador de grandes jogos” ou “ransomware operado por humanos“. Esses dois termos são usados para descrever grupos de ransomware que perseguem grandes alvos em busca de grandes somas de resgate. Eles jogam com o fato de que algumas empresas ou agências governamentais não podem se dar ao luxo de ficar parados enquanto recuperam seus sistemas.
Segundo os técnicos da Kaspersky, o Trojan implementa o esquema criptográfico usando funções da biblioteca de código aberto mbedtls.
Quando iniciado, o Trojan gera uma chave de 256 bits e a usa para criptografar todos os arquivos pertencentes à vítima que podem ser acessados ??usando a cifra de bloco AES no modo ECB. A chave AES é criptografada por uma chave pública RSA-4096 embutida no corpo do Trojan e anexada a cada arquivo criptografado.
Além disso, o malware lança um thread que regenera e criptografa novamente a chave AES a cada 0,18 segundos. No entanto, com base em uma análise da implementação, as chaves realmente diferem a cada segundo.
Além de criptografar os arquivos e deixar notas de resgate, a amostra não tem nenhuma das funcionalidades adicionais que outros agentes de ameaças tendem a usar em seus cavalos de Tróia: nenhuma comunicação C&C, nenhum encerramento de processos em execução, nenhum truque de anti-análise etc.
Trojan RansomEXX ganha versão para Linux
Esses grupos compram o acesso ou violam as redes, expandem o acesso a tantos sistemas quanto possível. Em seguida, implantam manualmente seu binário de ransomware como carga útil final para prejudicar o máximo possível da infraestrutura do alvo.
Porém, no último ano, houve uma mudança na forma como esses grupos operam.
Muitas gangues de ransomware perceberam que atacar primeiro as estações de trabalho não é um negócio lucrativo, já que as empresas tendem a recuperar os sistemas afetados e seguir em frente sem pagar resgates.
A turma da RansomEXX que cria uma versão Linux de seu ransomware do Windows está em sintonia com a quantidade de empresas que operam hoje usando Linux. Assim, uma versão do Linux faz todo o sentido da perspectiva de um invasor; sempre procurando expandir e alcançar o máximo possível de infraestrutura central em sua busca para paralisar empresas e exigir resgates mais elevados.
Migração de ataques do Windows para Linux será constante
O que vemos do RansomEXX pode em breve se tornar uma tendência definidora do setor, com outros grandes grupos de ransomware lançando suas versões do Linux no futuro também.
E, essa tendência parece já ter começado. De acordo com a empresa de segurança cibernética Emsisoft, além do RansomEXX, a gangue de ransomware Mespinoza (Pysa) também desenvolveu recentemente uma variante do Linux.
Detalhes técnicos sobre a variante RansomEXX Linux estão disponíveis no relatório Kaspersky. A Emsisoft diz que as variantes do RansomEXX Linux que detectaram foram vistas já em julho.