Um grupo de hackers chamado SolidBit está anunciando a comercialização de seu RaaS (ransomware-as-a-service) e procurando recrutar novos afiliados em fóruns da dark web. A notícia vem dos pesquisadores de segurança da CloudSEK, que publicaram um comunicado sobre os novos operadores de ameaças na quinta-feira da semana passada, 11. “O grupo está procurando ativamente parceiros para obter acesso às redes privadas das empresas para disseminar o ransomware chamado SolidBit”, diz a nota.
De acordo com um post do SolidBit visto pela CloudSEK em um fórum clandestino sem nome, 20% do lucro obtido com a distribuição do ransomware será pago ao afiliado que infectar servidores privados. A partir de amostras que encontradas pela empresa durante a investigação, entre junho e julho, os especialistas em segurança sugeriram que o SolidBit pode ser uma cópia do ransomware LockBit.
A análise sugere que o malware é executado após o download de alguns aplicativos maliciosos. “Ao extrair o repositório e executar o aplicativo, todos os arquivos são criptografados com uma extensão .solibit e aparece o pop-up do ransomware SolidBit, contendo a nota de resgate.” Um arquivo de texto então é aberto, o qual descreve as etapas básicas sobre como descriptografar arquivos infectados pagando um resgate.
Veja isso
LockBit usa Windows Defender para instalar o Cobalt Strike
Cisco confirma incidente de ransomware ocorrido em maio
“O arquivo de texto contém o ID de descriptografia, bem como a página de login do site do ransomware”, disse CloudSEK. “Ao fazer login, o usuário é direcionado para a página inicial do site do ransomware.” Uma vez no site, os usuários podem conversar com o operador da ameaça (conversar com suporte) ou testar os algoritmos de descriptografia (apenas para arquivos com menos de 1 MB).
“As amostras não continham capturas de tela de comunicação, no entanto, é possível que a comunicação direta com os agentes da ameaça seja possível por meio do sistema de bate-papo”, diz o comunicado.
Em termos de atribuição, a CloudSEK encontrou uma postagem no Twitter que compartilhava um link para um repositório GitHub criado por um usuário chamado L0veRust, que continha um aplicativo usado para entregar o ransomware.
Para mitigar o impacto do malware, a CloudSEK recomenda que as empresas habilitem ferramentas e aplicativos que impeçam a execução de programas maliciosos, além de atualizar e corrigir fulcrais de infraestrutura, como servidores e sistemas de computador.