O malware RansomEXX, que atacou os sistemas do STJ em Brasília, varreu os sistemas Windows e VMware, mas segundo pesquisadores da Kaspersky ele já está circulando na internet com uma versão que ataca máquinas com o sistema operacional Linux. “Após a análise inicial, notamos semelhanças no código do trojan, no texto das notas de resgate e na abordagem geral da extorsão, o que sugeria que havíamos de fato encontrado uma versão Linux da família de ransomware anteriormente conhecida RansomEXX.
Esse malware é conhecido por atacar grandes organizações e estava mais ativo no início deste ano”, disseram os pesquisadores Fedor Sinitsyn , Vladimir Kuskov no blog da empresa.
Veja isso
STJ diz que dados dos 255 mil processos que tramitam na corte estão íntegros
CTIR Gov dispara alertas de ransomware para o governo
Segundo eles, o RansomEXX é um trojan altamente direcionado: “Cada amostra contém um nome codificado da organização da vítima. Além disso, tanto a extensão do arquivo criptografado quanto o endereço de e-mail para contato com os extorsionários fazem uso do nome da vítima”, explicam. Além do STJ, várias empresas foram vítimas desse malware nos últimos meses, incluindo o Departamento de Transporte do Texas (TxDOT) e a japonesa Konica Minolta. Os especialistas explicam que ao ser iniciado, o trojan gera uma chave de 256 bits para criptografar os arquivos da vítima.
Além de criptografar os arquivos e deixar notas de resgate, diz o blog, “a amostra não tem nenhuma das funcionalidades adicionais que outros agentes de ameaças tendem a usar em seus cavalos de Tróia: nenhuma comunicação C&C, nenhum encerramento de processos em execução, nenhum truque de anti-análise, etc”. Apesar de serem construídas por diferentes compiladores com diferentes opções de otimização e para diferentes plataformas, a semelhança entre as versões Windows e Linux é bem clara. O relatório mostra também que a nota de resgate da versão Linux é quase idêntica à da amostra obtida no incidente do STJ.
Com agências internacionais
