Vendido as a service para usuários amadores, o fornecedor do ransomware encerrou as operações abruptamente e sem devolver a chave mestra às vítimas
São Paulo, outubro de 2016 – Quando surgiu, em julho de 2015, o ransomware Encryptor RaaS representava uma ameaça considerável para usuários e empresas, tendo em vista que seus ataques variavam de acordo com as personalizações aplicadas pelo associado.
Na época, de acordo com a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –, o fornecedor deste malware criou um painel online completo para seus “clientes”, acessível apenas por meio da rede Tor e que lhes permitia gerir os sistemas das vítimas.
No entanto, neste ano a Trend Micro detectou um esforço do desenvolvedor do Encryptor Raas para torná-lo “completamente indetectável”. Isto incluiu a assinatura do ransomware com certificados válidos, bem como o uso frequente de serviços contra antivírus e Crypters.
O Modus Operandi
A venda do Encryptor Raas foi anunciada nos fóruns da surface web e da dark net, acessível por meio da rede Tor. Para iniciar sua distribuição nenhum conhecimento técnico é exigido: o interessado apenas precisa saber como configurar uma ID Wallet Bitcoin, que será anexada ao ransomware, e assim, estará apto para distribuição.
Os compradores do ransomware recebem um ID, permitindo que o usuário especifique o valor do resgate e quais métodos poderão ser usados para espalhar seu malware personalizado. Um outro ID é gerado fazendo com que as vítimas possam acessar o seu painel online e ler as instruções de pagamento.
Toda a infraestrutura do Encryptor Raas fica escondida dentro da rede Tor e é escrita puramente em linguagem C, utilizando uma combinação de algoritmos RC6 e RSA-2048 para criptografar 231 tipos de arquivo
Os hackers podem até mesmo se comunicar com as vítimas por meio de uma caixa de bate-papo, em que enviam mensagens como: “apenas pague o resgate e você terá seus arquivos de volta“.
À frente da concorrência
Para tornar o ransomware mais atraente em relação à concorrência, o Encryptor RaaS passou a oferecer um serviço de assinatura de arquivo para seus associados.
O fornecedor do malware iniciou uma auto-promoção, afirmando ter Authenticodes roubados que lhe permitiam assinar amostras do Encryptor Raas gratuitamente, além de torná-los disponíveis por meio de leilões.
De acordo com monitoramento da Trend Micro, os esforços do desenvolvedor foram bem-sucedidos — até um certo ponto. O Encryptor Raas teve sucesso em evitar a detecção de AV: 2 de 35 termos de análise de mecanismos puramente estáticos, excluindo recursos modernos de AV, tais como detecção de comportamento. Foi lançada também uma variante visando atingir servidores e computadores Linux e que, segundo a Trend Micro, funciona exatamente da forma que foi anunciada.
O desenvolvedor de Encryptor Raas usa o apelido “jeiphoos” e é notavelmente muito ativo em fóruns clandestinos e até mesmo nas mídias sociais. A Trend Micro encontrou uma postagem no Facebook escrita por um indivíduo suspeito que pode estar envolvido diretamente com a infraestrutura do ransomware.
A constatação vem acompanhada de um dado curioso: a atualização do status de jeiphoos no Facebook, publicada no último dia 01 de março, coincide com a data em que o Encryptor Raas ressurgiu com uma nova variante. Transações com Bitcoin, foram também encontradas em sua conta no Twitter.
O início da queda do Encryptor RaaS
Após uma onda de sucesso, um dos servidores C&C do Encryptor RaaS foi exposto e não anonimizado pelo Tor. Convenientemente indexado pelo Shodan, o ransomware foi encontrado hospedando seus sistemas em um serviço de nuvem legítimo e, no final de junho, um dos sistemas foi apreendido.
Toda a infraestrutura do Encryptor Raas foi imediatamente derrubada, provavelmente como uma medida de precaução pelo seu desenvolvedor. Alguns dias depois, foram apreendidos mais três de seus servidores. Após quatro dias o sistema foi colocado novamente no ar, mas o desenvolvedor subitamente decidiu desistir do projeto.
O abrupto aviso de desligamento foi imediatamente divulgado em todas as principais páginas de sites decryptor e no principal site do Encryptor RaaS: “seus sistemas serão encerrados à meia-noite, sem liberar a chave mestra”.
O Encryptor RaaS foi encerrado por volta das 17:00 GMT no dia 5 de julho de 2016 com uma mensagem para as vítimas sinalizando que não poderiam recuperar seus arquivos, pois ele havia deletado a chave mestra.
Soluções contra Ransomwares da Trend Micro
As soluções Trend Micro detectam o Encryptor Raas como RANSOM_CRYPRAAS.SM e Ransom_CRYPRAAS.B, para a variante Linux, e suas soluções anti-ransomware se aplicam tanto a enterprises, PME’s e usuários domésticos.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.
Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.
Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.
Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.
Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.