Os cibercriminosos brasileiros estão usando a versão original do ransomware XPan e atacando pequenas e médias empresas com sede no Brasil com o malware.
O XPan funciona através da penetração de conexões mal protegidas do protocolo RDP (Remote Desktop Protocol). Os hackers usam essas conexões para instalar manualmente o ransomware e criptografar os arquivos, de acordo com um relatório da Kaspersky Lab’s Global Research and Analysis Team.
“O XPan é um ataque muito direcionado contra servidores com conexões RDP expostas à Internet. Os atacantes fazem um ataque de força bruta, entram e executam o ransomware manualmente na maioria dos casos”, disse Fabio Assolini, pesquisador da Kaspersky Lab.
Após a infecção, Assolini disse ainda que os atacantes podem apagar qualquer evidência nos computadores infectados, incluindo o instalador do malware.
A variante XPan remete a outubro de 2016, quando foi descoberto. Desde então, pesquisadores da Kaspersky Lab dizem que houveram várias encarnações do XPan, como XPan hakunamatata e 7zipper. “Esta amostra é o que poderia ser considerado como o ‘pai’ de outras variantes do ransomware XPan”, disseram os pesquisadores.
O algoritmo de criptografia dos arquivos é idêntico à variante XPan original, disseram os pesquisadores. “Cada bit de código executável permanece o mesmo, o que é bastante surpreendente, porque desde então existiam várias versões mais recentes deste malware com um algoritmo de criptografia atualizado”, escreveram os autores do relatório, Anton Ivanov, Fabio Assolini, Fedor Sinitsyn e Santiago Pontiroli.
A Kaspersky Lab disse que obteve êxito na engenharia reversa de uma amostra do malware e, assim, pôde ajudar as vítimas do XPan a descriptografar os arquivos bloqueados. A empresa de segurança disse que já ajudou cerca de 50 empresas afetadas pelo ransomware. Mas, acredita que o número real de infecções é maior quando se trata de empresas que trabalham com outras empresas de segurança e empresas que lidam com o assunto em particular.
“Os cibercriminosos brasileiros estão concentrando seus esforços na criação de famílias de ransomware novose locais, atacando pequenas empresas e usuários desprotegidos. Acreditamos que este é o próximo passo na luta contra os ransomware: passando de ataques em escala global para um cenário mais localizado”, de acordo com a Global Research and Analysis Team.
A Kaspersky Lab disse que o XPan é um indicativo de futuros ataques de ransomware em que os cibercriminosos “criarão novas famílias a partir do zero, em sua própria língua, e recorrerão ao ransomware-como-um-serviço, como forma de monetizar seus ataques”. Os pesquisadores apontam para o HiddenTear como um exemplo de ransomware que também se concentra em ataques regionais.
Com essas infecções mais recentes do XPan, os pesquisadores disseram que as extensões dos arquivos criptografados são “.one”. As vítimas devem pagar 0.3 bitcoins (ou R$ 1.255,20, na cotação de hoje).
“O algoritmo de criptografia de arquivos também permanece o mesmo. Para cada arquivo de destino, o malware gera uma nova sequência aleatória de 255 bytes na string S (que contém a subcategoria “NMoreira”), transforma-a em uma chave de 256 bits usando a API CryptDeriveKey e procede a criptografar o arquivo usando AES-256 em CBC com zero IV”, escreveu pesquisadores da Kaspersky Lab.
Uma das únicas diferenças entre a variante XPan usada na campanha brasileira e versões mais recentes é o bloco de configuração que inclui instruções sobre quais extensões de arquivo serão afetados, a nota de resgate real, os comandos a serem executados antes da criptografia e a chave pública RSA usada pelos atacantes, de acordo com os pesquisadores.
Publicado originalmente no ThreatPost em 25 de abril de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: threatpost