Ransomware baseado em Go permite ataques personalizados

Apelidado de Agenda, ransomware oferece opções para afiliados personalizar cargas binárias configuráveis para cada vítima
Da Redação
30/08/2022

Um novo ransomware desenvolvido com a linguagem de programação Go adota a personalização como tática para obter o máximo impacto contra empresas, individualmente. Analistas de segurança da Trend Micro descrevem a nova ameaça, apelidada de Agenda, em um comunicado publicado na quinta-feira da semana passada, 25, após ataques contra um dos clientes da empresa.

“Malware escrito na linguagem Go [também conhecida como Golang] tornou-se comum entre os operadores de ameaças”, diz o documento. “Uma possível razão para esse aumento de seu uso [no desenvolvimento de ransomware] é que a linguagem Go compila estaticamente as bibliotecas necessárias, tornando a análise de segurança muito mais difícil.”

Apesar de a Golang ainda ser uma linguagem de programação popular para criação de ransomware, alguns grupos que operam ameaças, como o BlackCat, estão migrando para a linguagem Rust.

Em relação ao ransomware Agenda, a Trend Micro disse que a ameaça visa organizações de saúde e educação na Indonésia, Arábia Saudita, África do Sul e Tailândia. Do ponto de vista técnico, o Agenda oferece vários recursos, incluindo a reinicialização de sistemas no modo de segurança, a tentativa de interromper muitos processos e serviços específicos do servidor e a execução de vários modos. O ransomware usa AES-256, padrão de criptografia avançada, para criptografar arquivos, e RSA-2048 para criptografar a chave gerada.

Além disso, as amostras do ransomware coletadas pela empresa de segurança foram personalizadas para cada vítima. O valor do resgate solicitado, por exemplo, era diferente para cada empresa, variando de US$ 50 mil a US$ 800 mil. “Nossa investigação constatou que as amostras vazaram contas, senhas de clientes e IDs exclusivas de empresas usadas ​​como extensões de arquivos criptografados”, acrescentou a Trend Micro.

Veja isso
Gangue do ransomware SolidBit recruta afiliados na dark web
Dragos alerta para o risco de ransomware em OT

Devido à ampla gama de informações obtidas pelos hackers para realizar essa modalidade de ataque, a empresa de segurança acredita que o grupo de ransomware oferece opções para afiliados personalizar cargas binárias configuráveis ​​para cada vítima. “[Incluem] detalhes como ID da empresa, chave RSA e processos e serviços a serem eliminados antes da criptografia de dados.”

Além disso, a Trend Micro alerta que o Agenda utiliza técnicas para evitar a detecção, aproveitando o recurso de ‘modo de segurança’ de um dispositivo para prosseguir com sua rotina de criptografia sem ser visto. “O ransomware também aproveita as contas locais para fazer logon como usuários falsificados e executar o binário do ransomware, criptografando ainda mais outras máquinas se a tentativa de logon for bem-sucedida. Ele também encerra vários processos e serviços e garante a persistência injetando uma DLL no svchost.exe”, detalha a empresa.

Para se defender do Agenda, a Trend Micro recomenda o uso de soluções de autenticação multifator (MFA), a regra 3-2-1 ao fazer backup de arquivos importantes e a correção e atualização regulares dos sistemas.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)