Um grupo de investigadores descobriu o PureLocker Ransomware capaz de cifrar ficheiros em sistema operativos Windows, Linux e macOS.
O ransomware está a ser utilizado para executar um ataque direcionado a servidores de produção das redes corporativas.
Uma análise de reutilização de código no revelou que o ransomware está relacionado ao “more_eggs”, um backdoor frequentemente usado por Cobalt Gang, atores de ameaças FIN6 e vendido na dark web.
O ransomware foi escrito na linguagem de programação PureBasic e é muito difícil para o fornecedor de antivírus escrever uma assinatura para os binários PureBasic uma vez que ele é portable entre Windows, Linux e OS-X.
O PureLocker Ransomware visa principalmente infraestruturas Windows e Linux. Atualmente os atacantes estão a utilizar muitas técnias de evasion para tornar o malware persistente por um longo periodo de meses.
Este ransomware está a ser comercionalizado na darkweb e tornou-se um ransomware-as-a-service (RaaS) direcionado, especialmente, a servidores corporativos.
A amostra analisada do malware mostrou-se compatível com o Windows e tinha identificada uma biblioteca de criptografia em C++, chamada Crypto ++.
1.There is no Crypto++ code connection here, meaning the sample is not a Crypto++ library.
2. The file contains reused code from several malware families, mainly from Cobalt Gang binaries. This means the file is malicious and may have relations to Cobalt Gang.
3. The majority of the relevant code in this file is unique, indicating that it’s likely a new or highly modified malware.
Durante a infecção, o malware valida o sistema target com base nas suas tarefas codificadas. Se por algum motivo essas validações falharem, o malware termina a sua execução.
According to Intezer research, In the event that all anti-analysis and integrity tests performed by the malware are satisfied, it proceeds to encrypt the files on the victim’s machine with the standard AES+RSA combination, using a hard-coded RSA key.
Depois de concluir o processo de criptografia, o ransomware adiciona a extensão “.CR1” para cada ficheiro cifrado e exclui o ficheiro original para impedir a recuperação.
A nota de resgate não contém nenhuma informação de pagamento. Em vez disso, o invasor solicita que as vítimas entrem em contato por e-mail. Para isso, eles estão a usar o serviço de email Proton.
“Since this is a RaaS, we believe this string is most likely the identifier of the group that is operating these specific samples,” Intezer said.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.