Ransomware Satã começa a operar como parte de uma plataforma RaaS

Ransomware Satã
A cada dia que se passa, os meios não-legais de obtenção de dinheiro não só aumentam como também nos surpreendem cada vez mais.

Esta semana, o pesquisador independente de segurança Xylit0l descobriu um novo malware chamado de Satã. Faz parte da família Gen:Trojan.Heur2.FU. Foi lançado ao público como parte de uma plataforma RaaS.

A plataforma RaaS (Ransomware as a Service) é um serviço que permite a qualquer pessoa criar uma versão personalizada de um Ransomware. Para isso a pessoa só precisa abrir uma conta no serviço solicitado.

Divulgação dos serviços fornecidos pela plataforma RaaS / Foto: Xylit0l

Como funciona

Utilizando os serviços da plataforma, a pessoa pode determinar o meio de distribuição do ransomware, o meio do pagamento de resgate, registros do pagamento de taxas, acompanhamento de transações, um serviço de tradução para outras línguas, entre outros. Os usuários também podem criar “notas” relacionadas as suas vítimas, aprender como configurar proxies de gateway e receber instruções sobre como testar seu malware em uma máquina física.

Plataforma RaaS em execução / Foto: Xylit0l

Para utilizar esses todos esses serviços, o desenvolvedor do RaaS cobra um valor de 30% sob o resgate pago por uma vitima, mas esse valor pode ser menor dependendo do valor do resgate.

O ransomware Satã criptografa os arquivos de uma vítima usando a criptografia RSA-2048 e AES-246, que é praticamente impossível de descriptografar. Portanto, as vítimas são obrigadas a pagar o resgate para ter acesso aos seus dados.

Uma vez que o sistema foi infectado com Satã através de campanhas de phishing ou links maliciosos, o malware criptografa os arquivos com a extensão .stn antes de colocar um arquivo HTML no desktop dos sistemas comprometidos que instruirá as vítimas sobre o que fazer.

A nota de resgate, em seguida, orienta as vítimas a instalar o navegador Tor, que é uma exigência para alcançar domínios da web que não são indexados pelos motores de busca típicos. As vítimas recebem então o link .onion para a página do pagamento de resgate. Lá, eles têm que pagar em Bitcoin para receber as chaves para descriptografar seus arquivos, mas a quantidade depende inteiramente das especificações colocada pelo usuário na plataforma RaaS.

O ransomware infecta apenas os sistemas Windows e, até o presente momento, não há nenhuma maneira de decifrar os arquivos de graça. Por enquanto, a única dica que posso lhe dar é: cuidado onde clica e cuidado com o que baixa.

Via