O aumento no número de incidentes de ransomware vem causando impactos globais em diversas organizações, e o ransomware Beast é a mais recente ameaça a ser identificada por pesquisadores da Cybereason. Esse ransomware é projetado para atacar sistemas Windows, Linux e ESXi, criptografando dados e exigindo o pagamento de resgates para sua liberação.
Evolução do ransomware Beast
O grupo responsável pelo Beast está em atividade desde 2022 e tem aperfeiçoado seu malware ao longo dos anos para expandir seu alvo para diferentes sistemas operacionais. Originalmente desenvolvido em Delphi, o Beast agora utiliza linguagens como C e Go, o que mostra seu avanço técnico.
Características do Beast
O Beast usa um esquema de criptografia robusto, combinando algoritmos de “curva elíptica” com a criptografia “ChaCha20”. Entre suas principais funcionalidades estão a “criptografia multithread”, que melhora a eficiência do processo, o “encerramento de processos”, e a “eliminação de cópias sombra” em sistemas Windows.
Nos sistemas Linux e ESXi, ele oferece opções de “personalização de caminhos de criptografia” e o desligamento de máquinas virtuais (VMs). O Beast também evita ataques a países da Comunidade dos Estados Independentes (CIS), criando um mutex denominado “BEAST HERE?” para impedir múltiplas instâncias.
Métodos de disseminação
O ransomware se espalha através de “e-mails de phishing”, “endpoints RDP comprometidos”, e varreduras de rede via SMB. Ele também explora uma vulnerabilidade no “RstrtMgr.dll” (Restart Manager) para manipular o acesso aos arquivos antes de criptografá-los, como descrito no relatório da Cybereason.
Atualizações recentes
O Beast introduziu um “builder offline” que permite configurar versões específicas para Windows, NAS e ESXi, mostrando sua capacidade de adaptação às necessidades do mercado criminoso. Além disso, ele implementa um sistema de “multithread” para criptografar arquivos de forma simultânea, dividindo as tarefas entre threads “pai” e “filho”, o que aumenta significativamente sua eficiência.
Notícias Relacionadas
Setor vulnerável
APT41: O ataque cibernético que abalou o setor de jogos
Hackers do grupo APT41 atacaram o setor de jogos, coletando informações sensíveis e utilizando táticas avançadas para obter ganhos financeiros.
Falhas críticas
Falhas graves em plataformas de armazenamento em nuvem E2EE usadas por milhões
Falhas críticas em cinco plataformas de armazenamento E2EE, usadas por milhões, foram descobertas por pesquisadores da ETH Zurich, expondo dados de usuários a potenciais ataques.
Estratégias de ataque
O ransomware Beast inicia sua ação deletando as “cópias sombra” em sistemas Windows usando o “Windows Management Instrumentation” (WMI). Ele utiliza a query “Select * FROM Win32_ShadowCopy” para localizar essas cópias, seguido do comando “IWbemServices::DeleteInstance” para removê-las.
Em seguida, o malware criptografa diversos tipos de arquivos, como “documentos”, “imagens”, “vídeos” e “bancos de dados”, afetando dispositivos conectados à rede.
Nota de resgate
Durante o processo de criptografia, o Beast coloca um arquivo de texto chamado “README.txt” em cada diretório afetado. Essa nota de resgate, que orienta as vítimas sobre como proceder, é extraída das configurações embutidas no malware. Curiosamente, os usuários podem acessar a interface gráfica do malware pressionando “ALT+CTRL” e digitando “666” durante a criptografia.
Recomendações de segurança
Para se proteger contra o Beast ransomware, é fundamental adotar as seguintes práticas de segurança:
- Monitorar sinais de ataque pré-ransomware afiliados ao Beast.
- Promover o uso de MFA (autenticação multifator) e atualizações de segurança.
- Habilitar proteções anti-malware e anti-ransomware.
- Proteger cópias sombra e controlar o acesso a aplicativos.
- Manter sistemas sempre atualizados.
- Fazer backups regulares dos arquivos.
- Implementar prevenção de variantes de payload.
