Há alguns dias atrás surgiu um novo tipo de Ransomware-as-a-Service (RaaS). O malware denominado Data Keeper Ransomware é considero uma obra de engenharia, e muitos sistemas já foram alvo desta nova espécie maliciosa.
O Data Keeper foi descoberto na semana passada por uma equipa de investigadores da Bleeping Computer.
New Dark Web RaaS. Currently offline, but to keep an eye on.
http://3whyfziey2vr4lyq[.]onion pic.twitter.com/KDmyGjN0Fw
— Catalin Cimpanu (@campuscodi) February 20, 2018
“The service launched on February 12 but didn’t actually come online until February 20, and by February 22, security researchers were already reporting seeing the first victims complaining of getting infected.” reads theblog post published by Bleeping Computer.
Qualquer indivíduo afiliado, pode usar o serviço RaaS, ativar a sua conta gratuitamente e criar as amostras do ransomware.
Este ransomware cifra os ficheiros com um algoritmo duplo, usando a cifra AES e RSA-4096. Ele também tenta cifrar todas as pastas partilhadass na rede.
Os ficheiros depois de cifrados pelo ransomware, serão substituídos pelo criptograma, e junto de cada diretoria é criado um ficheiro HTML com o seguinte nome:
(“!!! ##### === ReadMe === ##### !!!.htm“)
Com este tipo de “software”, qualquer indivíduo pode ter o seu ransomware e fazer “negócio” com ele. Pode distribuí-lo por um target específico e pedir o resgate pelos dados.
Os criadores do Data Keeper RaaS encorajam os utilizadores a gerarem amostras e disseminarem as mesmas pela sua rede de contactos. Eles referem que oferecem uma percentagem do resgate dos dados ao utilizador — o utilizador malicioso (afiliado) que criou uma amostra do ransomware.
Para criar uma amostra do RaaS, basta fornecer o endereço da carteira Bitcoin que servirá para receber os resgates, gerar o binário (o malware), e também é possível descarregar o ficheiro que permite decifrar os criptogramas (os ficheiros infetados pelo RaaS).
Na maior parte das vezes, as vítimas pagam o resgate pelos dados, mas nunca obtêm o conteúdo porque as chaves para decifrar são perdidas ou não são “criadas” propositadamente. Neste caso, a parte da decifra é também descarregada inicialmente aquando da criação do ransomware.
De acordo com os investigadores da MalwareHunterTeam, este malware é muito sofisticado e foi desenvolvido em .NET.
So, looked at DataKeeper ransomware…
Important / notable things:
– it’s secure
– it’s one of the few RWs that uses PsExec & it should be the 1st .NET RaaS that uses PsExec at all
– not seen any .NET ransomware before which was protected like this.@BleepinComputer @demonslay335— MalwareHunterTeam (@malwrhunterteam) February 22, 2018
The ITW sample we seen yesterday consists of 4 layers:
First layer is an exe, which will drop another exe to %LocalAppData% with random name & .bin extension, then executes it (WindowStyle.Hidden, Priority.BelowNormal).
That 2nd exe will load a dll, which will load another dll.— MalwareHunterTeam (@malwrhunterteam) February 23, 2018
Uma das caraterísticas interessantesd o RaaS, é que ele não gera uma nova extensão para os ficheiros infetados.
Data Keeper Ransomware Makes First Victims Two Days After Release on Dark Web RaaS – by @campuscodihttps://t.co/dWSnHCx7nK
— BleepingComputer (@BleepinComputer) February 24, 2018
Desta forma, as vítimas só reparam que foram infetadas quando abrem o ficheiros.
“This is actually quite clever, as it introduces a sense of uncertainty for each victim, with users not knowing the amount of damage the ransomware has done to their PCs.” continues Bleeping Computer.
Outra particularidade deste “software”, é a possibilidade dos afiliados (o indivíduo que cria o ransomware) escolherem que ficheiros devem ser cifrados.
Este esquema, usa um serviço de pagamento alojado na rede TOR.