Kaspersky Lab encontra ransomware desenvolvido por brasileiros usado contra empresas

SegurançaVírus

A equipe de especialistas da Kaspersky Lab encontrou uma nova variante de um ransomware desenvolvido por um grupo de criminosos brasileiros, o Trojan-Ransom.Win32.Xpan, que tem sido usado em ataques contra empresas e hospitais.

O ransomware cifra os arquivos por meio da extensão “.___xratteamLucked” e amostra, agora, descoberta pode ser considerada como o “pai” de outras variantes do ransomware XPan

“O autor ransomware deixou uma mensagem para Kaspersky Lab em outras versões e fez o mesmo neste. Com vestígios para o NMoreira “CrypterApp.cpp”, há uma conexão clara entre diferentes variantes nesta família de malware. “Os cibercriminosos brasileiros já se deram conta de que ataques de ransomware podem ser tão lucrativos quanto os que usam trojans bancários. Temos visto muitas novas famílias de ransomware sendo criadas por aqui – é uma tendência sem volta”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.

Embora muitas palavras em Português estejam presentes na análise inicial, houve um par que chamou a atenção dos analistas da Kaspersky Lab. Em primeiro lugar, o ransomware usa um arquivo em lotes que passará um parâmetro de linha de comando para um arquivo executável, este parâmetro é “eusoudejesus”. Em segundo lugar, faz referência a uma celebridade brasileira, através da indicação “Computador da Xuxa”, um brinquedo vendido no Brasil durante os anos 90.

Por fim, foi encontrado um recado exigindo que a vítima envie um e-mail para a conta ‘one@proxy.tg’, sendo que a extensão para todos os arquivos criptografados nesta variante é “.one“. A empresa de ciberseguranca refere que a mensagem de resgate é quase idêntica a outra versão do Xpan que costumava ser distribuída em novembro de 2016 e usou a extensão “.__ AiraCropEncrypted!”.

Após análise de várias variantes, foi possível verificar que um pedaço do código executável permanece o mesmo, o que é bastante surpreendente, porque desde aquela época existiam várias versões mais recentes deste malware com um algoritmo de criptografia atualizado. O algoritmo de criptografia de arquivos também permanece o mesmo

As vítimas até agora são pequenas e médias empresas no Brasil, desde uma clínica de dentista até uma autoescola.  Mas a Kaspersky pode ajudar pois conseguiu quebrar a criptografia da versão “.one” do Xpan e ajudou gratuitamente as empresas afetadas por este malware.


Clique para ler a bio do autor  Clique para fechar a bio do autor