Novo ransomware tem como alvo o Windows e o VMware ESXi

Operação de ransomware relativamente nova, conhecida como Nevada, tem funcionalidade aprimorada para bloquear sistemas Windows e VMware ESXi
Da Redação
02/02/2023

Uma operação de ransomware relativamente nova, conhecida como Nevada, parece ter aumentado sua capacidade de ação nos últimos meses. Pesquisadores de segurança notaram uma funcionalidade de locker aprimorada para bloquear sistemas Windows e VMware ESXi.

O Nevada começou a ser promovido no fórum de língua russa chamado RAMP na darknet em 10 de dezembro de 2022, convidando cibercriminosos de idiomas russo e chinês a se juntarem a ele. Para os afiliados que trazem muitas vítimas, o grupo diz que aumentará a participação na receita para 90%.

O RAMP foi relatado anteriormente como um espaço onde hackers russos e chineses promovem suas operações de cibercrime ou se comunicam com colegas. O ransomware Nevada apresenta um locker baseado em Rust, portal de bate-papo de negociação em tempo real e domínios separados na rede Tor para afiliados e vítimas.

Os pesquisadores da Resecurity analisaram o novo malware e publicaram um relatório sobre suas descobertas. Eles dizem que, embora o ransomware Nevada seja explícito sobre a exclusão de afiliados que falam inglês, os operadores estão abertos a fazer negócios com corretores (brokers) de acesso inicial (IABs, na sigla em inglês) controlados de qualquer lugar.

Segmentação de hosts do Windows

A variante do ransomware Nevada que se concentra em máquinas Windows é executada via console e oferece suporte a um conjunto de sinalizadores que dão a seus operadores algum controle sobre a criptografia. Uma característica interessante do ransomware é o conjunto de localidades do sistema que ele poupa do processo de criptografia. 

Normalmente, as gangues de ransomware excluem vítimas na Rússia e nos países da CEI (Comunidade de Estados Independentes). Com esse malware, a lista se estende à Albânia, Hungria, Vietnã, Malásia, Tailândia, Turquia e Irã.

A carga útil usa MPR.dll (Multiple Provider Router DLL) — módulo que contém funções usadas para lidar com a comunicação entre o provedor de rede e o sistema operacional — para coletar informações sobre recursos de rede, adicionando diretórios compartilhados na fila de criptografia. Cada unidade, incluindo as ocultas, recebe uma letra e todos os arquivos nelas também são adicionados à fila.

Após esse estágio, o criptografador é instalado como um serviço e, em seguida, o sistema violado é reiniciado no modo de segurança do Windows com uma conexão de rede ativa. O locker usa o algoritmo Salsa20 para executar criptografia intermitente em arquivos maiores que 512 KB para criptografia mais rápida.

Arquivos criptografados são anexados à extensão de arquivo “.Nevada” e cada pasta hospeda uma nota de resgate que dá às vítimas cinco dias para atender às demandas do agente da ameaça, caso contrário, seus dados roubados seriam publicados no site de vazamento de dados do Nevada.

A versão Linux/VMware ESXi do ransomware usa o mesmo algoritmo de criptografia (Salsa20) que a variante do Windows. Ele depende de uma variável constante, uma abordagem vista anteriormente no ransomware Petya. O criptografador Linux segue o mesmo sistema de criptografia intermitente, criptografando totalmente apenas arquivos menores que 512 KB. 

Veja isso
Novo ransomware AXLocker rouba tokens de usuários do Discord
AstraLocker encerra operações e libera chaves de descriptografia

A Resecurity diz que as semelhanças compartilhadas com o ransomware Petya se estendem a bugs de implementação de criptografia que também podem possibilitar a recuperação da chave privada, o que permitiria recuperar os dados sem pagar o resgate. “Para recuperar os dados criptografados pelo Nevada, precisamos saber a chave privada B e a chave pública A, que são adicionadas ao final do arquivo, para Salsa20, e o tamanho do arquivo e algoritmo usado para selecionar ‘stripes’ para criptografar (que podem potencialmente ser medidos ou adivinhados)”, detalha a empresa.

O ransomware Nevada ainda está construindo sua rede de afiliados e corretores de acesso inicial, procurando por hackers habilidosos. A Resecurity observou operadores do Nevada comprando acesso a endpoints comprometidos e envolvendo uma equipe de pós-exploração dedicada para realizar a invasão. Os pesquisadores da empresa observam que essa ameaça parece continuar crescendo e deve ser monitorada de perto.

Compartilhar:

Últimas Notícias