Menu de Cima

Trend Micro analisa trajetória do Encryptor RaaS

Quando surgiu, em julho de 2015, o ransomware Encryptor RaaS representava uma ameaça considerável para usuários e empresas, tendo em vista que seus ataques variavam de acordo com as personalizações aplicadas pelo associado.

Na época, de acordo com a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –, o fornecedor deste malware criou um painel online completo para seus “clientes”, acessível apenas por meio da rede Tor e que lhes permitia gerir os sistemas das vítimas.

Nontanto, neste ano a Trend Micro detectou um esforço do desenvolvedor do Encryptor Raas para torná-lo "completamente indetectável". Isto incluiu a assinatura do ransomware com certificados válidos, bem como o uso frequente de serviços contra antivírus e Crypters.

O Modus Operandi

A venda do Encryptor Raas foi anunciada nos fóruns da surface web e da dark net, acessível por meio da rede Tor. Para iniciar sua distribuição nenhum conhecimento técnico é exigido: o interessado apenas precisa saber como configurar uma ID Wallet Bitcoin, que será anexada ao ransomware, e assim, estará apto para distribuição.

Os compradores do ransomware recebem um ID, permitindo que o usuário especifique o valor do resgate e quais métodos poderão ser usados para espalhar seu malware personalizado. Um outro ID é gerado fazendo com que as vítimas possam acessar o seu painel online e ler as instruções de pagamento.

Toda a infraestrutura do Encryptor Raas fica escondida dentro da rede Tor e é escrita puramente em linguagem C, utilizando uma combinação de algoritmos RC6 e RSA-2048 para criptografar 231 tipos de arquivo

Os hackers podem até mesmo se comunicar com as vítimas por meio de uma caixa de bate-papo, em que enviam mensagens como: "apenas pague o resgate e você terá seus arquivos de volta".

À frente da concorrência

Para tornar o ransomware mais atraente em relação à concorrência, o Encryptor RaaS passou a oferecer um serviço de assinatura de arquivo para seus associados.

O fornecedor do malware iniciou uma auto-promoção, afirmando ter Authenticodes roubados que lhe permitiam assinar amostras do Encryptor Raas gratuitamente, além de torná-los disponíveis por meio de leilões.

De acordo com monitoramento da Trend Micro, os esforços do desenvolvedor foram bem-sucedidos — até um certo ponto. O Encryptor Raas teve sucesso em evitar a detecção de AV: 2 de 35 termos de análise de mecanismos puramente estáticos, excluindo recursos modernos de AV, tais como detecção de comportamento. Foi lançada também uma variante visando atingir servidores e computadores Linux e que, segundo a Trend Micro, funciona exatamente da forma que foi anunciada.

O desenvolvedor de Encryptor Raas usa o apelido "jeiphoos" e é notavelmente muito ativo em fóruns clandestinos e até mesmo nas mídias sociais. A Trend Micro encontrou uma postagem no Facebook escrita por um indivíduo suspeito que pode estar envolvido diretamente com a infraestrutura do ransomware.

A constatação vem acompanhada de um dado curioso: a atualização do status de jeiphoos no Facebook, publicada no último dia 01 de março, coincide com a data em que o Encryptor Raas ressurgiu com uma nova variante. Transações com Bitcoin, foram também encontradas em sua conta no Twitter.

O início da queda do Encryptor RaaS

Após uma onda de sucesso, um dos servidores C&C do Encryptor RaaS foi exposto e não anonimizado pelo Tor. Convenientemente indexado pelo Shodan, o ransomware foi encontrado hospedando seus sistemas em um serviço de nuvem legítimo e, no final de junho, um dos sistemas foi apreendido.

Toda a infraestrutura do Encryptor Raas foi imediatamente derrubada, provavelmente como uma medida de precaução pelo seu desenvolvedor. Alguns dias depois, foram apreendidos mais três de seus servidores. Após quatro dias o sistema foi colocado novamente no ar, mas o desenvolvedor subitamente decidiu desistir do projeto.

O abrupto aviso de desligamento foi imediatamente divulgado em todas as principais páginas de sites decryptor e no principal site do Encryptor RaaS: “seus sistemas serão encerrados à meia-noite, sem liberar a chave mestra”.

O Encryptor RaaS foi encerrado por volta das 17:00 GMT no dia 5 de julho de 2016 com uma mensagem para as vítimas sinalizando que não poderiam recuperar seus arquivos, pois ele havia deletado a chave mestra.

0Shares