O PureLocker Ransomware pode bloquear arquivos no Windows, Linux e macOS

Os cibercriminosos desenvolveram um ransomware que pode ser portado para todos os principais sistemas operacionais, e atualmente está sendo usado em ataques direcionados a servidores de produção.

O novo nome é PureLocker. Pesquisadores de malware analisaram amostras do Windows, mas uma variante do Linux também está sendo usada em ataques.

Construído para evitar a detecção

O malware foi cuidadosamente projetado para evitar a detecção, ocultando comportamentos mal-intencionados ou duvidosos em ambientes sandbox, posando como a biblioteca criptográfica Crypto ++ e usando as funções normalmente vistas nas bibliotecas para reprodução de música.

Por exemplo, se o malware determinar que está sendo executado em um ambiente de depurador, ele sai imediatamente. Além disso, a carga se exclui após a execução.

Isso permitiu que o PureLocker permanecesse no radar por meses seguidos. Nas últimas três semanas, o PureLocker evitou quase totalmente a detecção de mecanismos antivírus no VirusTotal.

O nome do ransomware deriva da linguagem de programação em que está escrito, PureBasic, uma escolha incomum que oferece alguns benefícios, dizem os pesquisadores em um relatório.

“Os fornecedores de antivírus têm problemas para gerar assinaturas de detecção confiáveis ​​para binários PureBasic. Além disso, o código PureBasic é portátil entre Windows, Linux e OS-X, facilitando o direcionamento de diferentes plataformas”.

Criptografia adiciona extensão .CR1

No que diz respeito à criptografia de arquivos, o PureLocker não é diferente de outros ransomware. Ele usa os algoritmos AES e RSA e não deixa opção de recuperação excluindo as cópias de sombra.

O malware não bloqueia todos os arquivos em um sistema comprometido, evitando executáveis. Os itens criptografados são fáceis de reconhecer pela extensão .CR1 que é anexada após o processo.

Uma nota de resgate é deixada na área de trabalho do sistema em um arquivo de texto chamado “YOUR_FILES”. Nenhuma quantia é dada no resgate; em vez disso, as vítimas precisam entrar em contato com os cibercriminosos em um endereço de email da Proton, um endereço diferente para cada compromisso.

Os pesquisadores notaram que a string “CR1” está presente não apenas na extensão dos arquivos criptografados, mas também na nota de resgate e nos endereços de email.

Uma teoria é que a cadeia é específica para o afiliado que espalha essas amostras específicas, pois o PureLocker é um negócio de ransomware como serviço.

Reutilização de código de malware Cobalt e FIN6

Pesquisadores da Intezer e da IBM X-Force dizem que o PureLocker está no mercado há vários meses e reutiliza códigos de um backdoor chamado “More_Eggs”, disponível na dark web de um provedor de malware experiente; o backdoor também é conhecido como Terra Loader e SpicyOmelette.

A análise do ransomware mostrou que ele usa código de vários binários maliciosos usados ​​pelo Cobalt Group que se concentra em atacar instituições financeiras.

Os pesquisadores determinaram que partes de um componente específico usado pelo cobalto no terceiro estágio de um ataque estão presentes no PureLocker. É o carregador JScript para o backdoor “more_eggs”, descrito por pesquisadores de segurança da Morphisec.

Em pesquisas anteriores, a IBM X-Force revelou que o FIN6, outro grupo de criminosos cibernéticos direcionado a organizações financeiras, também usava o kit de malware “more eggs”.

A maior parte do código no PureLocker é única. Isso sugere que o malware é um novo ou uma ameaça existente que foi fortemente modificada.

Reutilizar o código de outro malware é o que ajudou esse ransomware a manter um perfil baixo e a não acionar alertas antivírus o tempo todo. Detalhes sobre suas vítimas e demandas de resgate são desconhecidos no momento, mas agora que ele chegou ao radar dos pesquisadores, o PureLocker definitivamente receberá mais atenção da comunidade de informações.

Comente abaixo para sabermos qual é a sua opinião em relação a essa atividade cibercriminosa. Também visite-nos em: https://www.deltaservers.com.br/ para conhecer todas as soluções corporativas que temos disponível para o seu negócio.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.