Buran funciona no modelo RaaS como outras famílias de malwares, mas em anúncios na Dark Web os operadores dizem cobrar apenas 25% da renda obtida com sequestros de dados
Uma nova família de ransomware como serviço (RaaS) está sendo vendida na Dark Web, o que permite que qualquer pessoa com pouca ou nenhuma experiência técnica possa criar ataques com facilidade. Trata-se do kit de ransomware denominado Buran, que está sendo comercializado com taxas com desconto.
A equipe de pesquisa avançada em ameaças da McAfee diz que o Buran funciona no mesmo modelo RaaS de outras famílias de ransomware, como REVil e Phobos. A diferença é que nos anúncios feitos na Dark Web os cibercriminosos dizem cobrar 25% da renda obtida pelos “afiliados” com os sequestros de dados, em vez dos 30% a 40% pedidos por outros operadores de RaaS. E mais: dizem que estão dispostos a negociar essa taxa com qualquer pessoa que “garanta um nível impressionante de infecção” com o Buran.
De acordo com os pesquisadores da McAfee, Alexandre Mundo e Marc Rivero Lopez, o Buran foi detectado pela primeira vez em maio deste ano. Antes, ele foi anunciado em um fórum russo, sendo que seus operadores parecem focar em estabelecer relacionamentos pessoais com clientes criminosos.
Os especialistas acreditam que o Buran é originário do VegaLocker, ransomware de criptografia observado em fevereiro, devido a comportamentos semelhantes, artefatos e Tactics, técnicas e procedimentos (TTP) encontrados dentro do seu código. Isso inclui alterações no registro, dos tipos de arquivos armazenados em pastas temporárias, sobreposição de extensões e criação de cópias de sombra.
O Buran é descrito no anúncio como uma variedade estável de malware que usa um cryptoclocker offline, suporte 24 x 7, chaves globais e de sessão e nenhuma dependência de terceiros, como bibliotecas. O malware também é capaz de estabelecer unidades locais de digitalização e caminhos de rede e contém recursos opcionais, incluindo a criptografia de arquivos sem alterar extensões, removendo pontos de recuperação e limpando logs, e exclusão do catálogo de backup e dos meios de exclusão automática.
Os operadores do Buran afirmam que o ransomware é compatível com todas as versões do sistema operacional Windows, mas a McAfee descobriu durante sua investigação que algumas versões mais antigas, incluindo o Windows XP, são imunes.
O kit de exploração Rig é o método de entrega preferido para a nova família de ransomware e uma vulnerabilidade RCE do Microsoft Internet Explorer VBScript Engine CVE-2018-8174 é usada para explorar máquinas para sua implantação.
Duas versões do Buran, escritas em Delphi, foram encontradas até agora, sendo que a segunda versão contém melhorias. O malware verifica se a máquina da vítima está registrada na Rússia, Bielorrússia ou Ucrânia e, se essas verificações forem positivas, o Buran agirá.
Depois de garantir a criação de arquivos e armazená-los em pastas temporárias, o Buran cria chaves do registro para manter a persistência, atribuir um ID à vítima, criptografar arquivos e postar uma nota de resgate. “Os autores do malware desenvolveram seu código para aprimorá-lo e torná-lo mais profissional”, diz a McAfee.
Na semana passada, a provedora americana de hospedagem SmarterASP.NET foi atingida com uma infecção de ransomware. Os servidores dos clientes foram criptografados e ficaram inacessíveis, e o site do host também foi impactado. A Forrester Research estima que os ataques de ransomware contra a empresa aumentaram 500% ano a ano.