Na época, de acordo com a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –, o fornecedor deste malware criou um painel online completo para seus “clientes”, acessível apenas por meio da rede Tor e que lhes permitia gerir os sistemas das vítimas.
Nontanto, neste ano a Trend Micro detectou um esforço do desenvolvedor do Encryptor Raas para torná-lo "completamente indetectável". Isto incluiu a assinatura do ransomware com certificados válidos, bem como o uso frequente de serviços contra antivírus e Crypters.
O Modus Operandi
A venda do Encryptor Raas foi anunciada nos fóruns da surface web e da dark net, acessível por meio da rede Tor. Para iniciar sua distribuição nenhum conhecimento técnico é exigido: o interessado apenas precisa saber como configurar uma ID Wallet Bitcoin, que será anexada ao ransomware, e assim, estará apto para distribuição.
Os compradores do ransomware recebem um ID, permitindo que o usuário especifique o valor do resgate e quais métodos poderão ser usados para espalhar seu malware personalizado. Um outro ID é gerado fazendo com que as vítimas possam acessar o seu painel online e ler as instruções de pagamento.
Toda a infraestrutura do Encryptor Raas fica escondida dentro da rede Tor e é escrita puramente em linguagem C, utilizando uma combinação de algoritmos RC6 e RSA-2048 para criptografar 231 tipos de arquivo
Os hackers podem até mesmo se comunicar com as vítimas por meio de uma caixa de bate-papo, em que enviam mensagens como: "apenas pague o resgate e você terá seus arquivos de volta".
À frente da concorrência
Para tornar o ransomware mais atraente em relação à concorrência, o Encryptor RaaS passou a oferecer um serviço de assinatura de arquivo para seus associados.
O fornecedor do malware iniciou uma auto-promoção, afirmando ter Authenticodes roubados que lhe permitiam assinar amostras do Encryptor Raas gratuitamente, além de torná-los disponíveis por meio de leilões.
De acordo com monitoramento da Trend Micro, os esforços do desenvolvedor foram bem-sucedidos — até um certo ponto. O Encryptor Raas teve sucesso em evitar a detecção de AV: 2 de 35 termos de análise de mecanismos puramente estáticos, excluindo recursos modernos de AV, tais como detecção de comportamento. Foi lançada também uma variante visando atingir servidores e computadores Linux e que, segundo a Trend Micro, funciona exatamente da forma que foi anunciada.
O desenvolvedor de Encryptor Raas usa o apelido "jeiphoos" e é notavelmente muito ativo em fóruns clandestinos e até mesmo nas mídias sociais. A Trend Micro encontrou uma postagem no Facebook escrita por um indivíduo suspeito que pode estar envolvido diretamente com a infraestrutura do ransomware.
A constatação vem acompanhada de um dado curioso: a atualização do status de jeiphoos no Facebook, publicada no último dia 01 de março, coincide com a data em que o Encryptor Raas ressurgiu com uma nova variante. Transações com Bitcoin, foram também encontradas em sua conta no Twitter.
O início da queda do Encryptor RaaS
Após uma onda de sucesso, um dos servidores C&C do Encryptor RaaS foi exposto e não anonimizado pelo Tor. Convenientemente indexado pelo Shodan, o ransomware foi encontrado hospedando seus sistemas em um serviço de nuvem legítimo e, no final de junho, um dos sistemas foi apreendido.
Toda a infraestrutura do Encryptor Raas foi imediatamente derrubada, provavelmente como uma medida de precaução pelo seu desenvolvedor. Alguns dias depois, foram apreendidos mais três de seus servidores. Após quatro dias o sistema foi colocado novamente no ar, mas o desenvolvedor subitamente decidiu desistir do projeto.
O abrupto aviso de desligamento foi imediatamente divulgado em todas as principais páginas de sites decryptor e no principal site do Encryptor RaaS: “seus sistemas serão encerrados à meia-noite, sem liberar a chave mestra”.
O Encryptor RaaS foi encerrado por volta das 17:00 GMT no dia 5 de julho de 2016 com uma mensagem para as vítimas sinalizando que não poderiam recuperar seus arquivos, pois ele havia deletado a chave mestra.
