Trend Micro afirma que Brasil é o segundo país mais afetado por ransomware que exige resgate para arquivos em bitcoins
País recebeu pouco mais de 25% dos ataques, só ficando atrás da Itália, cujos usuários afetados representam mais da metade do total no mundo
Recentemente, especialistas da Trend Micro – líder em segurança na era da nuvem – observaram uma nova variante de ransomware, o TorrentLocker, que alvejou cerca de 4 mil organizações e empresas italianas. O TorrentLocker é semelhante a uma família de ransomware anterior, o CryptoLocker, e também criptografa vários arquivos, obrigando os usuários a pagarem uma quantia em dinheiro como resgate dos arquivos. O TorrentLocker usa a TOR, rede que permite o anonimato, para esconder seu tráfego.
A ameaça referida utilizou um e-mail de spam escrito em italiano e com diversos modelos como parte de suas táticas de engenharia social. Traduzidas, as mensagens diziam:
Sua pergunta foi feita no fórum em {dia}/{mês}/{ano} {horário}. Para a resposta detalhada por favor consulte o seguinte endereço: {link malicioso}
Ele enviou uma conta que já teria pago antes {dia}/{mês}/{ano}. Maiores detalhes podem ser encontrados em: {link malicioso}
O seu pedido foi iniciado e aguarda a revisão do pagamento {link malicioso}
Figura 1. Amostra do e-mail de spam
Todas as mensagens contêm um link que aponta para um arquivo “.zip”. Ao ser descomprimido, o arquivo gera um outro documento disfarçado de”.PDF”. Arquivos PDF são comumente repassados dentre organizações, e, como tal, funcionários que receberam esta mensagem de spam podem ser enganados, pensando que ela é legítima.
Figura 2. PrintScreen do arquivo anexado
Algumas das pastas de arquivo tem nomes como Versamento.zip, Transazione.zip, Compenso.zip, ou Saldo.zip. Estes nomes de arquivo podem ser traduzidos respectivamente como pagamento, transação, compensação e saldo, respectivamente. No entanto, em vez de ser um arquivo PDF, esses arquivos são, na verdade, uma variante do CryptoLocker detectado pela Trend Micro como TROJ_CRILOCK.YNG.
Semelhante a outras variantes de Cryptolocker, ele criptografa uma grande variedade de tipos de arquivos incluindo .DOTX, .DOCX,.DOC, .TXT, .PPT, .PPTX, e .XLSX entre outros. Todos estes tipos de arquivos estão associados com produtos Microsoft Office e são comumente utilizados nas operações diárias de empresas.
Para receber a ferramenta decodificada que supostamente poderá recuperar os arquivos cruciais dos usuários, os mesmos teriam que pagar um resgate em Bitcoins, um tipo de moeda digital. Uma das amostras que encontramos pediu um resgate de 1.375 BTC, que vale cerca de $500 dólares.
Os usuários italianos são os mais afetados por esta rodada particular de spam, pois um pouco mais da metade de todas as mensagens identificadas foram enviados para usuários na Itália. Um quarto foi para o Brasil, com outros países representando o restante. No seu auge, vários milhares de usuários foram afetados por dia.
Figura 3. Alvos Globais da Distribuição do TorrentLocker
Figura 6. Número de alvos infectados por dia
A Trend Micro protege seus usuários contra esta ameaça bloqueando as diferentes facetas que a mesma possui. Além de bloquear as várias mensagens de spam, as soluções da empresa são capazes de impedir os URLs maliciosos e detectar os arquivos maliciosos utilizados neste ataque.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.