O ransomware PureLocker está a infetar servidores Windows, Linux e MacOS.

Um grupo de investigadores descobriu o PureLocker Ransomware capaz de cifrar ficheiros em sistema operativos Windows, Linux e macOS.

O ransomware está a ser utilizado para executar um ataque direcionado a servidores de produção das redes corporativas.

Uma análise de reutilização de código no revelou que o ransomware está relacionado ao “more_eggs”, um backdoor frequentemente usado por Cobalt Gang, atores de ameaças FIN6 e vendido na dark web.

O ransomware foi escrito na linguagem de programação PureBasic e é muito difícil para o fornecedor de antivírus escrever uma assinatura para os binários PureBasic uma vez que ele é portable entre Windows, Linux e OS-X.

O PureLocker Ransomware visa principalmente infraestruturas Windows e Linux. Atualmente os atacantes estão a utilizar muitas técnias de evasion para tornar o malware persistente por um longo periodo de meses.

Este ransomware está a ser comercionalizado na darkweb e tornou-se um ransomware-as-a-service (RaaS) direcionado, especialmente, a servidores corporativos.

A amostra analisada do malware mostrou-se compatível com o Windows e tinha identificada uma biblioteca de criptografia em C++, chamada Crypto ++.

1.There is no Crypto++ code connection here, meaning the sample is not a Crypto++ library.
2. The file contains reused code from several malware families, mainly from Cobalt Gang binaries. This means the file is malicious and may have relations to Cobalt Gang.
3. The majority of the relevant code in this file is unique, indicating that it’s likely a new or highly modified malware.

 

 

Durante a infecção, o malware valida o sistema target com base nas suas tarefas codificadas. Se por algum motivo essas validações falharem, o malware termina a sua execução.

According to Intezer research, In the event that all anti-analysis and integrity tests performed by the malware are satisfied, it proceeds to encrypt the files on the victim’s machine with the standard AES+RSA combination, using a hard-coded RSA key.

 

Depois de concluir o processo de criptografia, o ransomware adiciona a extensão “.CR1” para cada ficheiro cifrado e exclui o ficheiro original para impedir a recuperação.

 

A nota de resgate não contém nenhuma informação de pagamento. Em vez disso, o invasor solicita que as vítimas entrem em contato por e-mail. Para isso, eles estão a usar o serviço de email Proton.

“Since this is a RaaS, we believe this string is most likely the identifier of the group that is operating these specific samples,” Intezer said.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *