Variante de malware ataca por motivações financeiras no Brasil e outros países da AL

0

Um novo levantamento da Cisco Talos – braço de inteligência da Cisco em nível global – aponta para a descoberta de uma variante do ransomware MedusaLocker. Conhecido como "BabyLockerKZ", esse malware foi criado com motivações financeiras e registrou um aumento significativo no número de ataques na Europa, entre final de 2022 e início de 2023. Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou, e os cibercriminosos mudaram seu foco para países da América Latina, como México, Brasil, Argentina e Colômbia.

O levantamento aponta que os ataques mantiveram um volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.

Ainda segundo a Cisco Talos, esse malware tem comprometido muitas corporações de forma consistente. Geralmente foram mais de 100 vítimas por mês, desde 2022. Para o braço de inteligência da Cisco, isso revela a natureza profissional e altamente agressiva dos ataques.

Característica do malware

Segundo o estudo, uma característica dessa variante é o fato de ser compilada com um caminho PDB que tem a presença da palavra "paid_memes". O "BabyLockerKZ" tem diferenças significativas se comparadas à versão clássica do "MedusaLocker".

Entre elas, estão as modificações na execução automática e a utilização de chaves adicionais armazenadas no registro. Esse fator, em especial, reforça o profissionalismo e a precisão dos cibercriminosos em seus ataques.

Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos com esse malware é puramente financeiro. Para isso, esse invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins). Neste último caso, trata-se de um conjunto criado pelo mesmo desenvolvedor do "BabyLockerKZ" para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas.

Pasta de usuários usadas nos ataques

O estudo da Cisco Talos destaca ainda que o ataque responsável pela implantação desse malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário "Music", "Pictures" ou "Documents" de sistemas comprometidos para armazenar os mecanismos de ataque.

A seguir, os caminhos adotados:

– c:\usuários\\música\scanner_de_portas_avançado_2.5.3869.exe
– c:\usuários\\música\hrsword\hrsword install.bat
– c:\usuários\\music\killav\build.004\disabler.exe
– c:/usuários//music/checker/checker(222).exe
– c:/users//music/checker/invoke-thehash.ps1
– c:/usuários//music/checker/checker (222).exe
– c:/users//music/checker/invoke-smbexec.ps1
– c:/users//music/checker/invoke-wmiexec.ps1
– c:/users//appdata/roaming/ntsystem/ntlhost.exe.exe
– c:/users//appdata/local/temp/advanced port scanner 2/advanced_port_scanner.exe
– c:/users//appdata/local/temp/is-juad3.tmp/advanced_port_scanner_2.5.3869.tmp

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.