Mais de 20 mil utilizadores chineses viram os seus computadores Windows infetados com uma nova versão de ransomware que cifra os ficheiros e exige um rasgate de 110 yuans (US $16).
O ransomware tem como alvo exclusivo o ciberespaço chinês, e não há ameaça registada para utilizadores internacionais, pelo menos até à data.
Esta ameaça está emergindo na China porque o grupo APT por trás da ameaça tira partido dos repositórios locais para distribuir malware, nomeamente market places caseiros, websites e foruns.
Além disso, eles também estão a solicitar pagamentos de resgate por meio do serviço de pagamento WeChat, disponível apenas na China e em regiões adjacentes.
De acordo com vários comunicados locais [1, 2, 3, 4], os utilizadores relataram terem sido infetados com este ransomware após instalarem várias apps com temas de mídia social, mas principalmente depois de instalar um aplicativo chamado “Account Operation V3.1” para ajudar os utilizadores a monitorizar várias contas QQ ao mesmo tempo.
Os investigadores que analisaram a app disseram que o ransomware, além de cifrar ficheiros, também incluiu um componente de roubo de informações que recolheu credenciais de login para vários serviços online chineses, como Alipay (carteira digital), Baidu Cloud (alojamento Cloud privado), NetEase 163 (serviço de e-mail), Tencent QQ (mensagens de chat) e Taobao, Tmall e Jingdong (plataformas de compras on-line).
Reclamações formais foram feitas junto das autoridades locais, mas não está claro se as autoridades identificaram o grupo de hackers por trás deste súbito surto de ransomware.
A menos que os autores de ransomware usassem identificações falsas ou obtidas fraudulentamente para criar seus perfis de tratamento de pagamento do WeChat, a maioria das vítimas disse esperar que a polícia rastreasse os criminosos. É amplamente sabido que as autoridades chinesas têm a capacidade de rastrear pagamentos do WeChat e identificar as pessoas por trás de operações suspeitas.
Também não é a primeira vez que os criminosos utilizam o WeChat como método para pagamento de resgates em investidas desta linha.
A polícia chinesa, em geral, tem um bom histórico no que toca a identificação de hackers dentro de pouco tempo, semanas ou meses, depois que uma determinada campanha de malware chegar às manchetes.
Por exemplo, eles levaram apenas um mês para identificar e prender as pessoas por trás do adware Fireball, quatro dias para rastrear um hacker que extorquia agências de viagens locais e menos de um mês para identificar um hacker que estava a vender dados de milhões de hotéis na Dark Web.
Quanto às vítimas desta recente campanha de ransomware, as empresas chinesas de segurança afirmam que o ransomware pode ser decifrado sem pagar o resgate. Algumas empresas começaram a trabalhar com decodificadores gratuitos, que planeiam disponibilizar muito em breve.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.