Exemplos de ransomware: 16 ataques recentes de ransomware

16 exemplos de ransomware

Um ransomware é um malware que criptografa arquivos importantes da vítima exigindo um pagamento (resgate) para restaurar o acesso. Se o pagamento do resgate for feito, as vítimas do ransomware receberão uma chave de descriptografia. Se o pagamento não for efetuado, o ator malicioso publicará os dados na dark web ou bloqueará o acesso ao arquivo criptografado para sempre.

Abaixo, exploramos 16 exemplos recentes de ransomware e descrevemos como o ataque funciona.

1. BitPaymer
2. CryptoLocker
3. DarkSide
4. Darma
5. DoppelPaymer
6. GandCrab
7. Maze
8. MedusaLocker
9. NetWalker
10. NotPetya
11. Petya
12. REvil
13. Ryuk
14. SamSam
15. WannaCry
16. Hive

1. BitPaymer

A Inteligência CrowdStrike vem rastreando o BitPaymer original desde que ele foi identificado pela primeira vez em agosto de 2017. Em sua primeira iteração, a carta de resgate do BitPaymer incluiu o pedido de resgate e um URL para um portal de pagamento baseado em TOR. O portal de pagamento incluía o título “Bit paymer” junto com uma identificação de referência, uma carteira Bitcoin (BTC) e um endereço de e-mail para contato. Um exemplo deste portal pode ser encontrado abaixo:

2. CryptoLocker

Os bloqueadores de tela praticamente desapareceram após a introdução de um grupo de ransomware conhecido como CryptoLocker em 2013. O ransomware CryptoLocker foi desenvolvido pelo chamado BusinessClub, que usou o enorme botnet Gameover Zeus com mais de um milhão de infecções. O grupo decidiu desenvolver seu próprio ransomware e implementá-lo em um subconjunto dos sistemas infectados de sua botnet. O pedido de resgate das vítimas costumava ser relativamente pequeno — um valor entre US$ 100 e US$ 300 — e o pagamento podia ser efetuado em diversas moedas digitais, incluindo cashU, Ukash, Paysafe, MoneyPak e Bitcoin (BTC).

3. DarkSide

O ransomware DarkSide é uma operação de ransomware como serviço (RaaS) associada a um grupo de e-crimes rastreado pela CrowdStrike como CARBON SPIDER. Operadores do DarkSide tradicionalmente focavam em máquinas Windows e, recentemente, expandiram para Linux, mirando ambientes corporativos com hipervisores VMware ESXi não corrigidos ou roubando credenciais do vCenter. Em 10 de maio, o FBI indicou publicamente que o incidente do Colonial Pipeline envolveu o ransomware DarkSide. Posteriormente, foi relatado que a Colonial Pipeline teve aproximadamente 100 GB de dados roubados de sua rede, e a organização teria pagado quase US$ 5 milhões a uma afiliada do DarkSide .

4. Dharma

O Dharma está em operação desde 2016 sob um modelo de ransomware como serviço (RaaS) em que os desenvolvedores licenciam ou vendem ransomware para outros criminosos que realizam um ataque usando o malware. As afiliadas da Dharma parecem não fazer distinção entre setores.

A CrowdStrike identificou que o autor original do Dharma lançou o código fonte em 2016 antes de cessar as atividades. Desde a saída desse ator de ameaças, o Dharma tem sido comercializado e vendido por vários atores aparentemente independentes, dois dos quais estavam ativos em 2019 — e pelo menos um segue ativo em janeiro de 2020. Separadamente, embora o ransomware Phobos provavelmente tenha sido inspirado pelo Dharma, a base de código do Phobos parece ser diferente daquela do Dharma.

5. DoppelPaymer

Embora as primeiras vítimas conhecidas do DoppelPaymer tenham sido atacadas em junho de 2019, a CrowdStrike conseguiu encontrar versões anteriores do malware, datadas de abril de 2019. Essas versões anteriores não têm muitas das novas funcionalidades encontradas em variantes posteriores, então não está claro se elas foram implementadas contra vítimas ou se foram simplesmente criadas para testes.

A carta de resgate usada pelo DoppelPaymer é semelhante àquela usada pelo BitPaymer original em 2018. A carta não inclui o valor do resgate; no entanto, ela contém uma URL para um portal de pagamento baseado em TOR e, em vez de usar a palavra-chave CHAVE para identificar a chave criptografada, a nota usa a palavra-chave DADOS conforme podemos ver na Figura 4.

6. GandCrab

O GandCrab se estabeleceu como uma das famílias de ransomware mais desenvolvidas e predominantes do mercado. O desenvolvimento do ransomware em si foi impulsionado, em parte, pelas interações do PINCHY SPIDER com a comunidade de pesquisa de cibersegurança. O GandCrab contém diversas referências a membros da comunidade de pesquisa que são publicamente ativos nas redes sociais e denunciaram o ransomware.

O PINCHY SPIDER continua promovendo o sucesso do seu ransomware em postagens em fóruns de crimes, frequentemente se gabando de relatos públicos do incidentes envolvendo o GandCrab. Em fevereiro, o PINCHY SPIDER lançou a versão 5.2 do GandCrab, que é imune às ferramentas de descriptografia desenvolvidas para versões anteriores do GandCrab e, de fato, foi implementada um dia antes do lançamento do descriptografador mais recente.

Recentemente, o PINCHY SPIDER também foi visto anunciando para indivíduos com habilidades no protocolo RDP (Remote Desktop Protocol) e VNC (Virtual Network Computing), além de spammers com experiência em redes corporativas.

7. Maze

O ransomware Maze é um malware que ataca organizações em todo o mundo em muitas indústrias. Acredita-se que o Maze opere por meio de uma rede afiliada onde seus desenvolvedores compartilham seus lucros com vários grupos que implementam o Maze em redes organizacionais. Os operadores do Maze também têm a reputação de aproveitar os ativos em uma rede para mover-se lateralmente para outras redes.

8. MedusaLocker

9. NetWalker

O NetWalker é um ransomware escrito em C++ e anunciado como um ransomware como serviço (RaaS) em fóruns por um usuário conhecido por fazer parte de um grupo designado como CIRCUS SPIDER.

O NetWalker criptografa arquivos no sistema local, mapeia compartilhamentos de rede e enumera a rede em busca de compartilhamentos adicionais, tentando acessá-los usando os tokens de segurança de todos os usuários conectados no sistema da vítima.

Abaixo temos um exemplo da carta de resgate deles:

10. NotPetya

O NotPetya é uma variante de ransomware do Petya que foi detectada pela primeira vez em 2017 e se infiltra rapidamente em sistemas de diferentes países. O que torna essa família de ransomware especialmente desagradável é o uso de técnicas de propagação sigilosa que permitem que ele se mova lateralmente para criptografar outros sistemas em uma organização. As cartas de resgate do NotPetya exigiam US$ 300 por cada máquina infectada.

Saiba mais -> Análise técnica do NotPetya

11. Petya

Descoberto em 2016, o ransomware Petya criptografa a MFT (Master File Table, Tabela Mestra de Arquivos) e o MBR (Master Boot Record, Registro Mestre de Inicialização), tornando impossível o acesso a qualquer arquivo no disco. Frequentemente, ele é executado em conjunto com outro exploit chamado Mischa, de forma que, caso o Petya não possua os privilégios necessários para acessar a MFT ou o MBR, o Mischa seja ativado para criptografar os arquivos um a um.

12. REvil

Em 9 de dezembro de 2019, um fabricante do RaaS REvil da PINCHY SPIDER publicou uma ameaça de vazar dados de vítimas em um fórum clandestino. Esta foi a primeira vez que o CrowdStrike Intelligence observou o grupo ou seus afiliados fazendo tal ameaça, e eles parecem estar frustrados por não conseguirem monetizar os comprometimentos explorados em um MSP (Managed Service Provider, Provedor de Serviços Gerenciados) sediado nos EUA e de uma empresa de gerenciamento de ativos sediada na China. Desde então, afiliados do PINCHY SPIDER publicaram dados de mais de 80 vítimas.

13. Ryuk

O Ryuk é utilizado especificamente para atacar ambientes empresariais. A comparação de código entre as versões do Ryuk e do ransomware Hermes indica que o Ryuk foi derivado do código-fonte do Hermes e está em constante desenvolvimento desde seu lançamento. O Hermes é um ransomware comercial que já foi observado à venda em fóruns e usado por vários atores de ameaças. No entanto, o Ryuk só é usado pelo WIZARD SPIDER e só vem sendo usado para atacar ambientes corporativos, diferentemente do Hermes.

Abaixo temos um exemplo da carta de resgate do Ryuk:

Saiba mais -> Análise técnica do Ryuk

14. SamSam

Desenvolvido e operado pelos ciber adversários, BOSS SPIDER, SamSam foi visto usando software não corrigido do lado do servidor para entrar em um ambiente. Mais notavelmente, SamSam esteve por trás do ataque de ransomware de 2018 na cidade de Atlanta, Geórgia. O ataque deixou 8.000 funcionários da cidade sem seus computadores, e os cidadãos não conseguiam pagar suas contas de água e multas de estacionamento.

Abaixo temos um exemplo da resposta de um operador do SamSam após o pagamento do resgate ter sido efetuado. A resposta normalmente inclui uma URL para que a vítima possa baixar as chaves de descriptografia.

Saiba mais -> Lições aprendidas com o SamSam

15. WannaCry

Também conhecido como WCry, WanaCrypt ou Wanna, WannaCry foi identificado em maio de 2017 durante uma campanha em massa que afetou organizações em todo o mundo. WannaCry tem atacado organizações de saúde e empresas de serviços públicos usando um exploit do Microsoft Windows chamado EternalBlue que permite o compartilhamento de arquivos, abrindo, assim, uma porta para o ransomware se espalhar.

Saiba mais -> Análise técnica do WannaCry feita pela CrowdStrike.

16. Hive

O Hive é uma plataforma de ransomware como serviço (RaaS) que ataca todos os tipos de empresas e organizações, mas é mais conhecido por perseguir organizações de saúde. Em abril de 2022, o Hive aproveitou uma técnica de pass-the-hash para coordenar um ataque que teve como alvo um grande número de clientes do Exchange Server da Microsoft. As indústrias afetadas incluem os setores de energia, serviços financeiros, organizações sem fins lucrativos e saúde.

O Hive aproveitou uma vulnerabilidade no Exchange Server da Microsoft conhecida como ProxyShell, que a Microsoft conseguiu aplicar uma correção rapidamente. No entanto, os invasores já haviam plantado um script de backdoor que foi usado para executar código malicioso no Exchange Server. Eles então assumiram o controle do sistema por meio do pass-the-hash, usando o Mimikatz para roubar a hash NTLM. Por fim, o Hive realizou um reconhecimento no servidor, coletou dados e implementou a payload do ransomware.

Em 26 de janeiro de 2023, o Departamento de Justiça dos Estados Unidos anunciou que interrompeu as operações do famoso grupo de ransomware como serviço (RaaS) conhecido como Hive, que fez mais de 1.500 vítimas em todo o mundo até o momento. Funcionários do Departamento de Justiça obtiveram uma ordem judicial para apreender dois servidores back-end que pertenciam ao Hive. O Procurador-Geral Garland disse que, embora o grupo tenha encerrado as operações, os ataques de ransomware ainda são proeminentes e que as organizações devem levar esse tipo de ameaça a sério.