Um novo levantamento da Cisco Talos – braço de inteligência da Cisco em nível global – aponta para a descoberta de uma variante do ransomware MedusaLocker. Conhecido como "BabyLockerKZ", esse malware foi criado com motivações financeiras e registrou um aumento significativo no número de ataques na Europa, entre final de 2022 e início de 2023. Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou, e os cibercriminosos mudaram seu foco para países da América Latina, como México, Brasil, Argentina e Colômbia.
O levantamento aponta que os ataques mantiveram um volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.
Ainda segundo a Cisco Talos, esse malware tem comprometido muitas corporações de forma consistente. Geralmente foram mais de 100 vítimas por mês, desde 2022. Para o braço de inteligência da Cisco, isso revela a natureza profissional e altamente agressiva dos ataques.
Característica do malware
Segundo o estudo, uma característica dessa variante é o fato de ser compilada com um caminho PDB que tem a presença da palavra "paid_memes". O "BabyLockerKZ" tem diferenças significativas se comparadas à versão clássica do "MedusaLocker".
Entre elas, estão as modificações na execução automática e a utilização de chaves adicionais armazenadas no registro. Esse fator, em especial, reforça o profissionalismo e a precisão dos cibercriminosos em seus ataques.
Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos com esse malware é puramente financeiro. Para isso, esse invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins). Neste último caso, trata-se de um conjunto criado pelo mesmo desenvolvedor do "BabyLockerKZ" para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas.
Pasta de usuários usadas nos ataques
O estudo da Cisco Talos destaca ainda que o ataque responsável pela implantação desse malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário "Music", "Pictures" ou "Documents" de sistemas comprometidos para armazenar os mecanismos de ataque.
A seguir, os caminhos adotados:
– c:\usuários\\música\scanner_de_portas_avançado_2.5.3869.exe
– c:\usuários\\música\hrsword\hrsword install.bat
– c:\usuários\\music\killav\build.004\disabler.exe
– c:/usuários//music/checker/checker(222).exe
– c:/users//music/checker/invoke-thehash.ps1
– c:/usuários//music/checker/checker (222).exe
– c:/users//music/checker/invoke-smbexec.ps1
– c:/users//music/checker/invoke-wmiexec.ps1
– c:/users//appdata/roaming/ntsystem/ntlhost.exe.exe
– c:/users//appdata/local/temp/advanced port scanner 2/advanced_port_scanner.exe
– c:/users//appdata/local/temp/is-juad3.tmp/advanced_port_scanner_2.5.3869.tmp