Analistas de ameaças investigam o Pandora, ‘por dentro da caixa’

Equipe do laboratório de inteligência de ameaças da Fortinet analisam o novo ransomware, que já atua nos EUA e no Japão e vem expandindo suas ações para outros países
Da Redação
12/04/2022

Um ransomware recém-detectado, denominado Pandora, tem intensificado seus ataques,  que começaram nos EUA e no Japão e agora vêm se expandindo para outros países. O nome sugestivo baseado na mitologia grega tem correlação com a abertura da caixa de Pandora, que introduziu coisas terríveis no mundo. 

Analistas do laboratório de inteligência em ameaças da Fortinet, o FortiGuard Labs, estão investigando o ransomware para desvendar os mistérios que ele contém e entender aonde ele pode chegar. O que já se sabe é que ele rouba dados da rede, criptografa os arquivos da vítima e só  os libera mediante o pagamento de um resgate. 

Segundo os analistas, o grupo Pandora emergiu do já lotado campo de ransomware em meados de fevereiro deste ano e visa redes corporativas para obter ganhos financeiros. O grupo recebeu publicidade recente depois de anunciar que adquiriu dados da Denso, maior fabricante de peças automotivas do grupo japonês Toyota. 

O incidente surpreendeu os analistas, já que o ataque ocorreu duas semanas depois que outro fornecedor automotivo foi atingido por um ransomware desconhecido, que o levou a suspender as operações da fábrica. O grupo de ameaças usa o método de dupla extorsão para aumentar a pressão sobre a vítima. Isso significa que eles não apenas criptografam os arquivos da vítima, mas também os exfiltram e ameaçam vazar os dados se a vítima não pagar o resgate.

O grupo Pandora tem um site de vazamento na dark web (rede Tor), onde anuncia publicamente suas vítimas e as ameaça com vazamento de dados. Existem atualmente três vítimas listadas no site do vazamento (veja a Figura 1), uma agência imobiliária com sede nos EUA, uma empresa de tecnologia japonesa e um escritório de advocacia nos EUA.

Fluxo de execução de malware

O FortiGuard Labs analisou uma amostra do Pandora, incluída em um arquivo Windows PE de 64 bits. O malware analisado segue os seguintes passos:

1) Descompactar: O malware está empacotado, então o primeiro passo é descompactar o conteúdo real na memória do dispositivo.

2) Mutex: Cria um mutex para possibilitar que um thread de programa múltiplo faça uso deste único recurso.

3) Desativar os recursos de segurança: pode excluir as cópias instantâneas do Windows.

4) Coletar informações do sistema: Usado para coletar informações sobre o sistema local.

5) Carregar chave pública codificada: Uma chave pública é codificada no malware para configurar a criptografia.

6) Armazenar as chaves privada e pública no registro: Uma chave privada é gerada e tanto a chave pública criptografada quanto a chave privada recém-gerada são armazenadas no registro.

7) Drive Search: Procura por drives desmontados no sistema e os monta para criptografá-los também.

8) Configuração multi-thread: o malware usa threads de trabalho para distribuir o processo de criptografia.

9) Enumerar sistema de arquivos: Os threads de trabalho começam a enumerar os sistemas de arquivos das unidades identificadas.

10) Soltar nota de resgate: A nota de resgate é lançada em todas as pastas.

11) Verificar lista de nomes de arquivos: Para cada arquivo e pasta, é verificada uma lista de nomes de arquivos/pastas. Se o arquivo/pasta estiver na lista, ele não será criptografado.

12) Verificar a lista de extensões de arquivos: Cada arquivo é verificado em relação a uma lista de extensão de arquivo. Se a extensão estiver listada, ela não será criptografada.

13) Desbloquear arquivo: Se o arquivo estiver bloqueado por um processo em execução, o malware tentará desbloqueá-lo usando o Windows Boot Manager.

14) Criptografar Arquivo: Os threads de trabalho irão criptografar o arquivo e gravá-lo de volta no arquivo original.

15) Renomear arquivo: Após a conclusão da criptografia, os arquivos são renomeados para “[original-name].pandora”

Veja isso
Denso, empresa do grupo Toyota, atacada com ransomware
Ataque a protocolo de operadoras clonou Telegram e e-mail

Um dos aspectos mais significativos do ransomware Pandora, segundo os analistas da Fortinet, é o uso extensivo de técnicas de engenharia reversa para contornar os controles de segurança. Isso não é novidade, mas o ransomware está no lado extremo do que é gasto para desacelerar a verificação. Esta amostra de ransomware Pandora foi detectada e analisada pela assinatura AV: W64/Filecoder.EGYTYFD!tr.ransom

A equipe do FortiGuard Labs ressalta que o Pandora contém todos os principais recursos que geralmente são encontrados em amostras de ransomware de próxima geração. O nível de ofuscação para desacelerar a análise é mais avançado do que o de um malware médio. Esse grupo de invasores cibernéticos também prestou atenção ao desbloqueio de arquivos para garantir a máxima cobertura de criptografia, enquanto ainda permitia que o dispositivo funcionasse.

Atualmente, não há evidências de que o Pandora opere como ransomware-as-a-service (RaaS), mas o investimento de tempo na complexidade do malware pode indicar que eles estão se movendo nessa direção a longo prazo. Os ataques e vazamentos atuais podem ser uma maneira de se destacar no campo do ransomware, para que eles possam adotar o modelo RaaS mais tarde de forma mais lucrativa. É preciso estar atento e bem preparados com tecnologia avançada de detecção, prevenção e resposta, pois a Pandora continuará desenvolvendo suas capacidades.

Compartilhar:

Últimas Notícias