Um arquivo contendo supostamente o código de um novo e extraordinário ransomware foi baixado por cerca de cem hackers que frequentam os fórums do portal BreachForums, e contaminou suas máquinas com um backdoor. O código foi desenvolvido pelo especialista em segurança cibernética romeno Cristian Cornea, que contou sua história no Medium. O “Jinn Ransomware Builder” da Cornea, embora pareça oferecer todas as ferramentas necessárias para lançar ataques de ransomware personalizados, na verdade foi projetado para coletar informações de possíveis cibercriminosos.
Leia também
Backdoors descobertas em cinco plugins do WordPress
Honeypot confirma risco iminente para bancos de dados
Anunciado como “Jinn Ransomware Builder”, ele foi apresentado no BreachForums como um builder de ransomware completo, capaz de criar payloads personalizados, com supostas funcionalidades que incluem retornos de chamada de Comando e Controle (C2), criptografia e descriptografia AES, suporte a vários idiomas no PowerShell, C# e Python, e recursos de detecção zero.
O objetivo de Cornea era atrair script kiddies e hackers de baixo nível que buscavam um caminho fácil para a implantação de ransomware. Sem que eles soubessem, o builder veio com um código oculto que vazaria informações de identificação para os servidores controlados pelo pesquisador, essencialmente permitindo que ele “hackeasse” os hackers.
Em um curto período, segundo Cornea, a ferramenta acumulou mais de 100 conexões C2 , enquanto vários usuários testavam o builder, expondo-se sem saber. O truque de Cristian Cornea ganhou força considerável, colocando seu post no topo do BreachForums. Seus insights da campanha destacam os riscos que os próprios hackers enfrentam quando tentam usar ferramentas não verificadas.
No código-fonte, a Cornea implementou funções de criptografia AES incompletas e adicionou opções falsas que pareceriam sofisticadas para olhos destreinados, mas não ofereciam nenhuma funcionalidade real. Essa abordagem escondeu a lógica do backdoor e fazia o criador do ransomware parecer legítimo o suficiente para escapar do escrutínio de hackers inexperientes.