Uma nova e potencialmente perigosa amostra de ransomware foi deteatada a infetar computadores nos Estados Unidos e pelo menos outros nove países até o momento.
A McAfee, a primeira gigante a descobrir a ameaça, apelidou-a de Anatova. O nome de batismo foi baseado na nota de resgate que o malware deixa nos sistemas infetados.
Num comunicado na terça-feira, o fornecedor de segurança descreveu o malware Anatova como tendo o potencial de se tornar uma séria ameaça com base nos seus recursos de ofuscação e capacidade de infetar redes partilhadas.
O malware também tem um design modular, que permite que os invasores adicionem novas funções maliciosas no futuro.
Os investigadores da McAfee descobriram Anatova pela primeira vez em numa rede peer-to-peer privada, mas ainda não têm certeza de todas as outras formas como o malware está a ser distribuído.
O software malicioso normalmente usa o ícone de um jogo ou software para convencer as vítimas a descarregá-los para os seus sistemas.
O ransomware é um PE file de 64 bits com a data de compilação de 1º de janeiro de 2019. O tamanho do ficheiro deste hash específico (170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0) é de 307kb, mas pode ser alterado devido à quantidade de recursos usados na amostra.
Se removermos todos esses recursos, o tamanho será 32kb; um programa muito pequeno mas com um poderoso mecanismo interno.
Uma vez executado, o malware realiza várias ações para evitar a sua deteção e garantir que ele possa localizar e cifrar o maior número de ficheiros possível no sistema infetado. O malware deixa uma nota exigindo o equivalente a US $ 700 como resgate e pela chave para decifrar os dados.
“Anatova makes a few checks to make sure it is not run in a sandbox and the victim is not from certain countries,” says Christiaan Beek, lead scientist at McAfee. Users from former Soviet bloc nations and some other countries, including Syria, Iraq, and India, are currently not under threat from the new ransomware strain.
Depois de passar as verificações iniciais, o malware procura ficheiros menores que 1 MB — talvez ficheiros sensíveis dos utilizadores. Ele também verifica se há partilhas de rede e tenta cifrar ficheiros nesses locais.
Anatova utiliza um par de chaves para cada infeção, e isso quer dizer que não existe uma solução transversal para tentar recuperar os ficheiros das vítimas afetadas.
Significantly, each Anatova sample has its own key, meaning there’s no master key available that could decrypt all files for all victims. Each victim would need a specific, separate key in order to unlock encrypted files, he explains.
INDICATORS OF COMPROMISE
The samples use the following MITRE ATT&CK™ techniques:
- Execution through API
- Application processes discovery
- File and directory discovery: to search files to encrypt
- Encrypt files
- Process discovery: enumerating all processes on the endpoint to kill some special ones
- Create files
- Elevation of privileges: request it to run.
- Create mutants
Hashes:
2a0da563f5b88c4d630aefbcd212a35e
366770ebfd096b69e5017a3e33577a94
9d844d5480eec1715b18e3f6472618aa
61139db0bbe4937cd1afc0b818049891
596ebe227dcd03863e0a740b6c605924
Mais sobre a ameaça aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.