No momento, os golpistas estão tentando lucrar enviando e-mails que prometem dinheiro de ajuda pandêmica. Os e-mails se passam por entidades oficiais, como a Reserva Federal dos EUA ou outras instituições oficiais.
Vários países emitiram programas para ajudar empresas e cidadãos a receber dinheiro do governo, a fim de superar os problemas criados pelo novo surto de coronavírus, que estão dando aos criminosos uma maneira fácil de fazer as pessoas ansiosas esperarem e-mails. Com linhas de assunto como “Receber pagamento” ou “Formulário de Pagamento de Auxílio”, os usuários são motivados a clicar em um link que redireciona para um site de phishing, que tenta roubar informações pessoais ou credenciais bancárias on-line. Outras variantes de e-mail usam essas contas de estímulo como isca para fornecer um documento protegido por senha “COVID 19 Relief.doc” que contém um trojan financeiro ou ransomware.
Além disso, ainda vemos ondas de ameaças clássicas de malware temáticas covid-19 fazendo as rodadas. Um exemplo de ameaça que encontramos recentemente derrubou uma combinação de ransomware e malware infostealer.
Infostealer e ransomware entregues de uma só vez
Essa ameaça de infostealer foi distribuída através de sites falsos que se passam por uma ferramenta legítima de utilitário do sistema Windows: wisecleaner[.] melhor, por exemplo. Se o usuário clicar em um link para baixar qualquer uma das ferramentas oferecidas, ele será atendido como downloader, que baixa mais cargas de trynda[.] xyz, trynda1[.] xyz, trynda2[.] xyz. Dependendo da configuração, o servidor decidirá qual carga servir á vítima.
Vimos variantes semelhantes sendo distribuídas no passado nas mídias sociais e através de links para sites de compartilhamento de arquivos.
Na amostra analisada, um ransomware CoronaVirus e uma variante do infostealer KPOT foram baixados.
Ransomware CoronaVirus
Esta pequena ameaça 44KB é um ransomware simples, mas eficaz. Ele se copia com um nome aleatório para %AppData%\Local\Temp\vprdh.exe e define uma chave de registro em \Windows\CurrentVersion\Run. Uma vez que o arquivo descartado for executado, o arquivo original será excluído.
Como a maioria dos ransomwares, a ameaça tenta excluir backups locais e arquivos de sombra, emitindo os seguintes comandos do sistema:
C:\Windows\system32\VSSADMIN. EXE Delete Sombras /Tudo /Silencioso
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe exclua backup -keepVersions:0 -quiet
Em seguida, ele começará a criptografar arquivos. Cada arquivo criptografado será preparado com a seqüência coronaVi2022@protonmail.ch__ ao deixar a extensão.
Além disso, ele muda o nome do disco rígido para CoronaVirus.
Em cada diretório afetado, um nome de arquivo de texto CoronaVirus.txt é criado com as instruções de pagamento. O resgate exigido é de 0,008 bitcoins, que é de aproximadamente US $ 60 no momento. Isso é extraordinariamente baixo para ransomware e pode ser uma indicação de que a principal motivação do autor não é sobre lucros. Por outro lado, pode ser que eles queiram ser baratos e acessíveis para que suas vítimas estejam mais dispostas a pagar rapidamente.
O ransomware também lança um pequeno dos executável na pasta temporária e registra-o sob a chave de registro BootExecute, a fim de exibir a mensagem de instrução de pagamento na próxima reinicialização do computador. Dependendo da configuração do sistema, isso não funcionará, portanto, nenhuma mensagem de inicialização será exibida. No entanto, uma vez que o ransomware tenha terminado de criptografar os arquivos, o computador será automaticamente reiniciado.
O infostealer KPOT
A segunda carga que foi descartada é um ladrão de senhas chamado KPOT. O malware pode roubar cookies e senhas armazenadas de diferentes navegadores, senhas de jogos instalados (incluindo Steam), softwares de comunicação como Jabber e Skype, e credenciais FTP e VPN. Uma vez que o malware é terminado com seu trabalho, ele se exclui com a seguinte linha de comando.
cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe
Pensamento final
Este ataque com tema de coronavírus mostra claramente que o ransomware evoluiu há muito tempo para longe da criptografia de dados puro. Grupos de ransomware de alto perfil e direcionados, como Maze e DoppelPaymer, se especializaram em exfiltrar dados e vazá-los se a vítima não pagar o resgate. Essa mudança de abordagem adiciona motivação extra aos criminosos, especialmente se todos os dados que eles criptografarem de outra forma podem ser restaurados a partir de backups.
Este simples exemplo do CoronaVirus mostra que os cibercriminosos que não são esses grupos estão tentando maximizar seus lucros também. Esta não é uma nova estratégia, há alguns anos vimos ataques de ransomware instalando trojans financeiros e ladrões de senhas também. O ataque de criptografia pode ser uma distração, chamando a atenção para o vazamento de dados, ou pode ser uma tentativa de aumentar os lucros totais. De qualquer forma, é um bom lembrete que as ameaças atuais requerem uma estratégia abrangente de proteção cibernética, indo além do backup autônomo.
A boa notícia é que o Acronis Cyber Protect bloqueia proativamente o ransomware CoronaVirus com sua heurística assistida por aprendizado de máquina e todos os arquivos que foram modificados durante o ataque são imediatamente restaurados pela solução.
Hashes de arquivo IoC
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Infostealer Kpot: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Fonte: Blog Acronis Inc.