Os pesquisadores detalham dois novos tipos de ransomware - AlumniLocker e Humble. Ambos são novos e têm maneiras muito diferentes de fazer as coisas, demonstrando a diversidade em um espaço em que os invasores desejam se envolver.

Duas formas recém-descobertas de ransomware com características muito diferentes mostram o quão diverso o mundo do ransomware se tornou à medida que mais criminosos tentam se juntar à extorsão cibernética.

Ambas as formas de ransomware surgiram em fevereiro e foram detalhadas por pesquisadores de segurança cibernética da Trend Micro - AlumniLocker e Humble - com as duas versões tentando extorquir um resgate de bitcoin de maneiras diferentes.

AlumniLocker é uma variante do ransomware Thanos e imediatamente se destaca por exigir o pagamento de 10 Bitcoins da vítima infectada - um valor atualmente equivalente a cerca de US $ 450.000.

O ransomware é entregue às vítimas por meio de um anexo PDF malicioso, que afirma ser uma fatura distribuída em e-mails de phishing. O PDF contém um link que extrairá um arquivo ZIP que executa um script do PowerShell para descartar a carga útil e executar o ransomware.

Como um número crescente de campanhas de ransomware, os invasores por trás do AlumniLocker ameaçam publicar dados roubados da rede de suas vítimas se eles não forem pagos em 48 horas - embora, considerando que a demanda de resgate seja tão grande, as vítimas podem decidir que é muito caro .

O ambicioso pedido de resgate e outras inconsistências em suas técnicas de ataque - incluindo como o site de vazamento de dados não funciona de fato - podem indicar que os responsáveis ​​pelo AlumniLocker provavelmente estão apenas começando.

"Parece que este pode ser um novo grupo que não tem experiência em resgatar suas vítimas com sucesso, já que o pedido de resgate é muito maior do que o normal. O fato de o local do vazamento não funcionar é outro exemplo de mostrar que são novatos , "Jon Clay, diretor de comunicações de ameaças globais da Trend Micro, disse à ZDNet.

O humilde ransomware também apareceu pela primeira vez em fevereiro, mas é muito diferente de várias maneiras. Em primeiro lugar, o ransomware é muito menor, exigindo apenas 0,0002 Bitcoins - atualmente pouco menos de US $ 10 - para a devolução de arquivos, indicando que o Humble pode ter como alvo indivíduos em vez de organizações.

Ainda não se sabe como exatamente o Humble é distribuído, mas os pesquisadores observam que é provável que seja por meio de ataques de phishing.

Em um esforço para forçar as vítimas a pagar o resgate, o Humble ameaça a vítima afirmando que, se ela reiniciar o sistema, o Master Boot Record (MBR) será reescrito, tornando a máquina inutilizável. Uma segunda versão do Humble carrega a mesma ameaça, mas em vez disso diz que isso acontecerá se a vítima não pagar depois de cinco dias.

Humble é incomum para ransomware porque é compilado com um invólucro executável (Bat2Exe) em um arquivo de lote. O que também é estranho é que ele usa o Discord - um serviço de comunicação de voz, texto e vídeo popular entre os jogadores - para enviar relatórios ao seu autor.

Ambas as formas de novo ransomware são incomuns, mas ambas demonstram que o ransomware continua a ser atraente para os criminosos cibernéticos que veem como as principais gangues estão ganhando tanto dinheiro e querem fazer o mesmo.

As organizações podem ajudar a se proteger contra ataques de ransomware com procedimentos de segurança cibernética, incluindo a aplicação de patches e o uso de autenticação multifator.

Fonte: ZDNet