Pesquisadores descobrem rede de comercialização de ransomwares. |
Um membro de uma comunidade cibernética de alto nível que usa o nome de usuário "Dereck1" revelou a existência de uma nova variante de ransomware chamada "Karmen", que os hackers podem comprar no mercado negro por US$ 175. (R$ 542).
Uma investigação mais aprofundada revelou que "DevBitox", um cibercriminoso de língua russa, era o vendedor do malware em fóruns subterrâneos da internet, descoberto em março passado. No entanto, os primeiros casos de infecções com o Karmen foram relatados em dezembro do ano passado por vítimas na Alemanha e nos Estados Unidos.
O Karmen é o que os especialistas chamam ransomware como um serviço — uma tendência particularmente preocupante. Hackers amadores com pouco conhecimento técnico podem comprar acesso a eles e, em troca, recebem todo um conjunto de ferramentas baseadas na web para desenvolver seus próprios ataques ransomware.
No caso do Karmen, é oferecida uma interface de painel de controle fácil de usar. Os compradores podem modificar o ransomware e ver as máquinas que ele já infectou.
Para espalhar o ransomware, os hackers enviam frequentemente e-mails de spam com um anexo ou link para um site que contém código malicioso. Uma vez que infecta um computador, o ransomware então criptografa os arquivos nele armazenados. Para liberar os arquivos, as vítimas têm de pagar um resgate, geralmente em bitcoin.
DevBitox, um dos desenvolvedores por trás Karmen, postou mensagens em diversos fóruns dizendo que as versões de idioma russo e inglês do ransomware como um serviço já estão disponíveis.
Até agora, o hacker vendeu 20 cópias do Karmen, de acordo com o site Recorded Future, que observa que as primeiras infecções da variante do ransomware ocorreram em dezembro do ano passado na Alemanha e nos EUA.
A taxa de US$ 175 é o único pagamento adiantado, disse Andrei Barysevich, diretor da Recorded Future. "Isso diminui a barreira para outros criminosos realizarem ataques de ransomware e permite que os compradores mantenham 100% dos pagamentos de suas vítimas infectadas", acrescentou.
No entanto, as vítimas bateu com o ransomware Karmen recorrer. Isso é porque o código malicioso é derivado escondida lágrima, um projeto de open source ransomware.
Os cibercriminosos têm usado o "Hidden Tear", um projeto open source para ransomware, disponível para compra por qualquer pessoa. Como é típico nas infecções por ransomware, o Karmen criptografa arquivos na máquina infectada, usando o protocolo forte de criptografia AES-256, tornando-os inacessíveis ao usuário, além de pode acionar uma nota de resgate ou instruções exigindo que o usuário pague uma grande soma de dinheiro para obter a chave de descriptografia do atacante.
Michael Gillespie, pesquisador de segurança, desenvolveu o seu próprio gerador de chaves de descriptografia que pode resolver ransomware construído a partir do Hidden Tear, um projeto open source para ransomware, disponível para compra por qualquer pessoa. Ele criou um site que pode diagnosticar que tipo de ransomware tem o computador infectado e oferece conselhos sobre como pode ser corrigido.
No More Ransom é outro site com ferramentas gratuitas que podem descriptografar certas infecções por ransomware.
Especialistas em segurança, também recomendam que as empresas fazem backups de rotina de seus sistemas importantes, no caso de um ataque de ransomware.
Fonte: Computerworld