Our blog

14 Jan 2017
by David Menezes Tanemsmo
Comments are closed

Procurando por um novo funcionário? Cuidado com a nova Campanha de Ransomware

Apesar de tentar se classificar como um novo malware, GoldenEye, a última variante do Petya, é muito parecido com versões anteriores, e difere-se principalmente em seu tema “dourado”. A maior mudança, no entanto, é como a campanha espalha o ransomware.

Esta atual campanha, utilizada para disseminar o GoldenEye, possui a temática de uma candidatura de emprego. É direcionada aos departamentos de Recursos Humanos das empresas, devido ao fato de que eles geralmente não podem deixar de abrir emails e arquivos de estranhos, o que é um método comum de infecção de malwares.
Ransomware direcionado ao RH
A nova campanha visa falantes da língua alemã, e simula uma candidatura de emprego. O email contém uma breve mensagem, supostamente do candidato, e dois arquivos em anexo, como pode ser visto adiante.
O primeiro arquivo é um PDF contendo uma carta de apresentação sem nenhum conteúdo malicioso, e seu principal objetivo é levar a uma falsa sensação de segurança. O segundo, é um arquivo Excel com macros maliciosos, desconhecidos pelo destinatário. Contém uma imagem de uma flor, com a palavra “Carregando…” (ou “Loading”) escrita logo abaixo, e um texto em alemão pedindo que a vítima ative o conteúdo, para que os macros possam ser executados.

Imagem 1: Captura de tela com o email da campanha
Petya1

Imagem 2: A carta de apresentação em PDF, sem conteúdo malicioso
Petya2

Pesquisadores de Segurança da Check Point observaram a campanha de spam em andamento nos últimos dias, e perceberam que os arquivos Excel possuem nomes diferentes. Eles seguem um padrão parecido, começando com o nome do “candidato” ao emprego, e a palavra “aplicação” em alemão (“Bewerbung”):
Wiebold-Bewerbung.xls
Meinel-Bewerbung.xls
Seidel-Bewerbung.xls
Wüst-Bewerbung.xls
Born-Bewerbung.xls
Schlosser-Bewerbung.xls

Imagem 3: O arquivo Excel solicitando a execução de macros
Petya3

Processo de Criptografia
Quando o usuário clica em “Ativar Conteúdo”, o código do macro é executado, iniciando assim o processo de criptografia de arquivos, e impedindo que a vítima tenha acesso a eles.
Então, GoldenEye adiciona uma extensão de 8 caracteres aleatórios a cada arquivo criptografado. Depois que todos os seus arquivos são criptografados, GoldenEye apresenta a seguinte nota: “YOUR_FILES_ARE_ENCRYPTED.TXT” (SEUS_ARQUIVOS_ESTÃO_CRIPTOGRAFADOS.TXT).
Depois de mostrar a mensagem de resgate, GoldenEye força ma reinicialização e começa a criptografar o disco. Esta ação torna impossível de acessar qualquer arquivo do disco rígido. Enquanto o disco é criptografado, a vítima vê uma tela de “chkdsk” falsa, como nas versões anteriores da Petya.
Imagem 4: tela “chkdsk” falsa
Petya4

Após a criptografia do disco, uma nota de resgate aparece para a vítima durante a inicialização. .

Petya5

O conteúdo da nota de resgate é o mesmo de variantes anteriores do Petya; porém, GoldenEye utiliza um texto amarelo, ao invés de vermelho ou verde.

Petya6

Um “código de descriptografia pessoal” aparece para vítima, e assim ela pode acessar um portal Dark Web para efetuar o pagamento do resgate. O portal Dark Web possui uma página de suporte, onde as vítimas podem enviar mensagens ao administrador do GoldenEye, em caso de haver problemas com o pagamento ou o processo de descriptografia.
Atualmente, o valor do resgate exigido pelo GoldenEye começa em 1.3 BitCoins (BTC), que são aproximadamente $1,000, com variações observadas entre 1.33 e 1.39 BTC. Podemos assumir que o invasor por trás do GoldenEye visa receber $1,000 por cada invasão, então o valor real do resgate varia de acordo com a variação de preço do BTC.
O programador por trás do Petya é um cibercriminoso que atende pelo nome de Janus. Até outubro de 2016, Janus dirigia o website “Janus Cybercrime”, onde o Petya era oferecido juntamente com outro ransomware, Mischa, como um Ransomware como serviço (do inglês, Ransomware-as-a-Service). Janus é também o nome do sindicato de cibercrimes que aparece no filme da franquia James Bond, GoldenEye, lançado em 1995.

Uma semelhança que não é coincidência
Se a campanha Bewerbung parece familiar, é provavelmente porque foi utilizada anteriormente pelo ransomware Cerber [3]. Como tanto o Petya/GoldenEye como o Cerber agem como Ransomware como serviço (RaaS), é muito provável que exista um único agente de ameaça levando a campanha alemã de CV a enviar ambos os tipos de malware às suas vítimas.

Como se proteger?
Entrar em contato com a Innobras aqui.

Referências:
1. “Petya – Taking Ransomware to the Low Level.” Blog post. Malwarebytes Labs. Malwarebytes, 01 Apr. 2016. Web. 07 Dec. 2016. <https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/>.
2. Cimpanu, Catalin. “Petya Ransomware Returns with GoldenEye Version, Continuing James Bond Theme.” Blog post. BleepingComputer. Bleeping Computer® LLC, 06 Dec. 2016. Web. 07 Dec. 2016. < https://www.bleepingcomputer.com/news/security/petya-ransomware-returns-with-goldeneye-version-continuing-james-bond-theme/>.
3. Check Point Threat Intelligence Research Team. “CerberRing: An In-Depth Exposé on Cerber Ransomware-as-a-Service.” Blog post. Check Point Blog. Check Point Software Technologies Ltd., 16 Aug. 2016. Web. 14 Dec. 2016. < http://blog.checkpoint.com/2016/08/16/cerberring/>.
Traduzido de: http://blog.checkpoint.com/2017/01/03/looking-new-employee-beware-new-ransomware-campaign/[/fusion_text]

Innobras – Soluções Tecnológicas © 2019