Em maio, investigadores da equipa de research e de ameças da McAfee descobriu uma nova peça de ransomware chamada ‘Buran’. Buran é oferecido como modelo RaaS, mas, diferente de outras famílias de ransomware, como REVil, GandCrab.
Os autores recebem 25% da receita obtida pelos afiliados , em vez dos 30% – 40%. Agora, os operadores por trás do Buran RaaS anunciaram em anúncios que todos os afiliados terão um acordo pessoal com eles.
O anúncio afirma que Buran trabalha com todas as versões do sistema operativo Windows, mas os especialistas da McAfee explicaram que em sistemas mais antigos como o Windows XP, ele não funciona.
Os investigadores também descobriram que o ransomware não infectará nenhuma região dentro do segmento da CEI das antigas repúblicas soviéticas (Armênia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tajiquistão, Turquemenistão, Ucrânia e Uzbequistão).
O ransomare parece ser a evolução do ransomware Jumper baseado no VegaLocker.
Os operadores por trás deste RaaS anunciaram que podem negociar a taxa com qualquer pessoa que possa garantir um nível extraordinário de infeções com o ransomware.
O Buran é anunciado como um malware estável que usa um cryptoclocker offline, suporte 24/7, chaves globais e de sessão e não possui dependências de terceiros, como bibliotecas.
“Reliable cryptographic algorithm using global and session keys + random file keys; Scan all local drives and all available network paths; High speed: a separate stream works for each disk and network path; Skipping Windows system directories and browser directories; Decryptor generation based on an encrypted file; Correct work on all OSs from Windows XP, Server 2003 to the latest; The locker has no dependencies, does not use third-party libraries, only mathematics and vinapi;”
“The completion of some processes to free open files (optional, negotiated); The ability to encrypt files without changing extensions (optional); Removing recovery points + cleaning logs on a dedicated server (optional); Standard options: tapping, startup, self-deletion (optional); Installed protection against launch in the CIS segment.
Os especialistas da McAfee acreditam que o ransomware Buran foi disseminado por meio do Rig Exploit Kit. O Rig EK estava a usar o CVE-2018-8174 para disseminar o ransomware.
“In our analysis we detected two different versions of Buran, the second with improvements compared to the first one released.” reads the analysis published by McAfee.
As duas versões analisadas pelos especialistas estão escritas em Delphi. O malware cifra os ficheiros somente se as máquinas não estiverem na Rússia, Bielorrússia ou Ucrânia.
O malware ganha persistência através de chaves do registo. Abaixo de um exemplo da nota de resgate deixada no sistema infectado:
“Buran represents an evolution of a well-known player in the ransomware landscape. VegaLocker had a history of infections in companies and end-users and the malware developers behind it are still working on new features, as well as new brands, as they continue to generate profits from those actions.” concludes the analysis. “We observed new versions of Buran with just a few months between them in terms of development, so we expect more variants from the authors in the future and, perhaps, more brand name changes if the security industry puts too much focus on them.” “It mimics some features from the big players and we expect the inclusion of more features in future developments.”