O Ransomware Data Keeper, que infetou brutalmente vários sistemas, foi gerado por um novo serviço de Ransomware-as-a-Service (RaaS).

Há alguns dias atrás surgiu um novo tipo de Ransomware-as-a-Service (RaaS). O malware denominado Data Keeper Ransomware é considero uma obra de engenharia, e muitos sistemas já foram alvo desta nova espécie maliciosa.

O Data Keeper foi descoberto na semana passada por uma equipa de investigadores  da Bleeping Computer.

 

“The service launched on February 12 but didn’t actually come online until February 20, and by February 22, security researchers were already reporting seeing the first victims complaining of getting infected.” reads theblog post published by Bleeping Computer.

Qualquer indivíduo afiliado, pode usar o serviço RaaS, ativar a sua conta gratuitamente e criar as amostras do ransomware.

Este ransomware cifra os ficheiros com um algoritmo duplo, usando a cifra AES e RSA-4096. Ele também tenta cifrar todas as pastas partilhadass na rede.

Os ficheiros depois de cifrados pelo ransomware, serão substituídos pelo criptograma, e junto de cada diretoria é criado um ficheiro HTML com o seguinte nome:

(“!!! ##### === ReadMe === ##### !!!.htm“) 

 

Com este tipo de “software”, qualquer indivíduo pode ter o seu ransomware e fazer “negócio” com ele. Pode distribuí-lo por um target específico e pedir o resgate pelos dados.

Os criadores do Data Keeper RaaS encorajam os utilizadores a gerarem amostras e disseminarem as mesmas pela sua rede de contactos. Eles referem que oferecem uma percentagem do resgate dos dados ao utilizador  — o utilizador malicioso (afiliado) que criou uma amostra do ransomware.

Para criar uma amostra do RaaS, basta fornecer o endereço da carteira Bitcoin que servirá para receber os resgates, gerar o binário (o malware), e também é possível descarregar o ficheiro que permite decifrar os criptogramas (os ficheiros infetados pelo RaaS).

Na maior parte das vezes, as vítimas pagam o resgate pelos dados, mas nunca obtêm o conteúdo porque as chaves para decifrar são perdidas ou não são “criadas” propositadamente. Neste caso, a parte da decifra é também descarregada inicialmente aquando da criação do ransomware.

Data-Keeper-RaaS-login

 

De acordo com os investigadores da MalwareHunterTeam, este malware é muito sofisticado e foi desenvolvido em .NET.

 

Uma das caraterísticas interessantesd o RaaS, é que ele não gera uma nova extensão para os ficheiros infetados.

 

Desta forma, as vítimas só reparam que foram infetadas quando abrem o ficheiros.

“This is actually quite clever, as it introduces a sense of uncertainty for each victim, with users not knowing the amount of damage the ransomware has done to their PCs.” continues Bleeping Computer.

 

Outra particularidade deste “software”, é a possibilidade dos afiliados (o indivíduo que cria o ransomware) escolherem que ficheiros devem ser cifrados.

Este esquema, usa um serviço de pagamento alojado na rede TOR.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *