Tráfego em 30/Out/24: 349.264 page views/mês - 141.802 usuários/mês - 5.441 assinantes

AstraLocker encerra operações e libera chaves de descriptografia

Da Redação
04/07/2022

O grupo de hackers conhecido como AstraLocker anunciou que está encerrando a operação de ransomware e que planeja atuar apenas com cryptojacking — sequestrar computadores para minerar criptomoedas. O desenvolvedor do ransomware enviou um arquivo Zip com os desencriptadores AstraLocker para a plataforma de análise de malware VirusTotal. O BleepingComputer baixou o arquivo e confirmou que os decodificadores são legítimos e funcionam depois de testar um deles contra arquivos criptografados em uma campanha recente do ransomware.

Embora o desenvolvedor não tenha revelado o motivo por trás da descontinuidade do AstraLocker, é provável que seja devido à publicidade repentina trazida por relatórios recentes que colocariam a operação na mira das autoridades.

Um decodificador universal para o ransomware AstraLocker está atualmente em andamento, a ser lançado no futuro pela Emsisoft, uma empresa de software conhecida por ajudar as vítimas de ransomware com descriptografia de dados.

Embora isso não aconteça com a frequência, outros grupos de ransomware lançaram chaves de descriptografia e descriptografadores. A lista de ferramentas de descriptografia lançadas no passado inclui Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy e FonixLocker.

Como a empresa de inteligência de ameaças ReversingLabs revelou recentemente, o AstraLocker usava um método pouco ortodoxo para criptografar os dispositivos de suas vítimas na comparação com outros ransomware. Em vez de primeiro comprometer o dispositivo — invadindo-o ou comprando acesso de outros agentes de ameaças —, os operadores do AstraLocker implantava diretamente as cargas úteis de anexos de e-mail usando documentos maliciosos do Microsoft Word.

Veja isso
Grupo RansomHouse diz ter roubado 450 GB de dados da AMD
Ransomware Conti invade mais de 40 empresas em um mês

As iscas usadas nos ataques do AstroLocker são documentos que ocultam um objeto OLE (Object Linking and Embedding) com a carga de ransomware que será implantada depois que o alvo clicar em Executar na caixa de diálogo de aviso exibida ao abrir o documento. Antes de criptografar os arquivos no dispositivo comprometido, o ransomware verificava se estava sendo executado em uma máquina virtual, encerrava os processos e interrompia os serviços de backup e antivírus que prejudicariam o processo de criptografia.

Análise da ReversingLabs diz que o AstraLocker é baseado no código-fonte vazado do ransomware Babuk Locker (Babyk), uma variedade com erros, mas ainda perigosa, que saiu do espaço em setembro de 2021.

Compartilhar: