Utilização de Bitcoin e Extorsão para Pagamento de Resgate
Os pagamentos realizados pelas vítimas para os cybercriminosos foram rastreados porque o grupo usou Bitcoin, a cryptomoeda com base em protocolos de código aberto. Através do rastreamento, foi determinado que entre fevereiro e abril de 2015, os atacantes extorquiram cerca 76.522 dólares de mais de 160 vítimas, como foi citado no início desta publicação. Este montante pode parecer trivial em comparação com os milhões feitos anualmente a partir de outros crimes cibernéticos, ou os estimados 3 milhões dólares que os responsáveis pelo CryptoLocker foram capazes de fazer durante nove meses entre 2013-2014. No entanto, independente do valor continuar sendo alto ou tendo sofrido uma queda, não deixa de demonstrar a capacidade das práticas de ransomware gerarem lucros e causar seu impacto devastador sobre as vítimas.
A correspondência on-line entre as vítimas e os criminosos cibernéticos, apresenta o contexto sobre o efeito causado na vida das pessoas. As vítimas foram espalhadas por todo o mundo a partir de estudantes no Irã e Espanha até pessoas comuns nos Estados Unidos, Brasil, Argentina, Alemanha, Croácia e na Mongólia. Alguns deles temiam ser expulsos da escola ou despedidos por seus empregadores se eles fossem incapazes de recuperar seus arquivos bloqueados por causa dos efeitos nefastos do ransomware. Além disso, pais e mães foram prejudicados devido a perda de fotos de família. O ransomware TeslaCrypt também afetou organizações sem fins lucrativos, incluindo uma organização dedicada à cura do câncer, bem como as pequenas empresas. Muitas das vítimas eram simplesmente incapazes de ter recursos suficientes para pagar o resgate e acabavam desistindo dos processos de recuperação.
Ransomware 101
Este ano, tem havido um grande aumento no volume de distribuição ransomware, bem como em relação ao número de diferentes tipos de ransomware. O termo "ransomware" se refere a malware que desativa a funcionalidade do computador da vítima ou criptografa arquivos da vítima, além de extorqui-la para o pagamento de resgate e restaurar a funcionalidade de sua máquina. Alguns tipos de ransomware bloqueiam o computador da vítima e se fazem passar por organizações de aplicação da lei, informando ao usuário que eles estão implicados em atividades ilegais. A vítima é então instruída a pagar uma multa. O mais prolífico no que diz respeito a ransomware, são variantes que criptografam arquivos de computador da vítima e exigem um pagamento para decifrá-los. Isto ameaça indivíduos, cujos arquivos e fotos pessoais são mantidos como "reféns", bem como as empresas que encontram unidades compartilhadas cheias de documentos essenciais em condição inacessível.
Nesta sequência de atitudes persuasivas e ameaçadoras, os cybercriminosos espalham ransomware através de uma variedade de métodos, incluindo o envio de spam ou alavancando botnets para liberar malware em computadores que estejam comprometidos. Recentemente, muitos desenvolvedores dessas pragas têm vindo a utilizar o modo "drive by" a partir do uso de kits exploit, que se aproveitam de vulnerabilidades existentes em navegadores populares e plugins para entregar o malware. Neste tipo de ataque, os criminosos cibernéticos comprometem sites legítimos ou infiltram redes de publicidade (Malvertising) e inserem o código que redireciona os usuários para um site de hospedagem de um kit exploit. Os kits, de maneira bem típica, tentam detectar qualquer software vulnerável no computador do visitante, como as versões antigas do Java ou Flash, e depois entregam um exploit adequado para aquela situação, que faz com que o computador do visitante possa baixar e executar um conteúdo malicioso. Uma vez que o malware é executado, os arquivos da vítima são criptografados e uma janela pop-up exibe o pedido de resgate.
Tipos de Ransomware Habitualmente Encontrados
As formas mais comuns de ransomware observados pela FireEye incluem:
1. Cryptolocker - Este é, sem nenhuma dúvida, o mais prolífico de todas as variantes de ransomware-encrypting de arquivos, Cryptolocker foi detectado pela primeira vez em 2013. Foi propagado pelo perigoso botnet "Gameover Zeus" e demandou em torno de um resgate de US$ 300 a US $ 500.
2. Cryptowall - O Cryptowall surgiu poucos meses depois do Cryptolocker em 2013, e imitou o comportamento de seu antecessor. Os desenvolvedores deste alavancaram mais de US$ 1 milhão em um período de seis meses em 2014.
3. CTB-Locker - Primeiramente visto em 2014, CTB-Locker foi o primeiro ransomware de criptografia de arquivo que usou a rede Tor. Ele estava disponível para venda aos cybercriminosos em muitos fóruns clandestinos.
4. TorLocker - Este foi implantado pela primeira vez no ano de 2014 contra os usuários japoneses. TorLocker foi comercializado e vendido no extinto mercado Evolution.
5. Kryptovor - Este malware rouba arquivos de computadores comprometidos, mas também tem um componente de ransomware, que foi visto em atividade pela primeira vez em 2014. Kryptovor, como as características de sua grafia sugerem, tem como alvo principalmente as empresas situadas na Rússia.
TeslaCrypt
Depois de ser comprometida com TeslaCrypt, a vítima é alertada através de uma janela pop-up, com um aviso indicando que os arquivos do seu computador foram todos criptografados. Eles utilizam vários métodos para acessar o site da TeslaCrypt, incluindo acesso direto via Web, um proxy Tor2web, ou instalando o navegador Tor e acessando diretamente o hidden address ".onion".
Recuperação de Chaves Criptográficas e Utilização de Bitcoin, Ukash e MoneyPak
As vítimas de ransowmare geralmente usam o endereço Bitcoin para pagar o resgate, e recuperar as chaves de decriptografia depois de fazer o pagamento. Depois de inserir o endereço Bitcoin, a vítima recebe um aviso de resgate. Vale observar que os disseminadores das práticas de ransomware, muitas vezes exigem o pagamento em Bitcoin porque é, de certa forma, mais difícil de ser rastreado do que outros métodos. E por falar em outros métodos de pagamento comuns para outras variantes de ransomware, estes incluem Ukash, que é é uma opção de pagamento popular baseada em voucher, e que pode ser usada para depositar dinheiro em sua conta de carteira eletrônica, de forma instantânea, e MoneyPak, um cartão que pode ser encontrado em bancas de revistas, lojinhas e até em supermercados, com alguns valores definidos. A pessoa compra um cartão de 50 dólares e raspa na área indicada descobrindo um código. Este serviço de crédito no PayPal é feito em parceria com a GreenDot.
Comunicação Entre Vítimas e Cybercriminosos
Os cybercriminosos que estão por trás do ransomware TeslaCrypt, permitem que as vítimas façam upload de um único arquivo que é então decodificado e disponibilizado para a vítima baixar. A oferta para decriptografar um único arquivo, permite que os cybercriminosos possam demonstrar que eles podem, de fato, decriptografar os arquivos, o que provavelmente aumenta a pressão adicional sobre as vítimas para pagar o resgate. No caso de TeslaCrypt, os cybercriminosos também criaram um centro de mensagens onde as vítimas podem se comunicar com eles. Além disso, os cybercriminosos posicionam-se como "suporte ao cliente" e ajudam as vítimas adquirir Bitcoin e continuam a exigir resgate. Outras variantes de ransomware, geralmente, exibem um endereço de e-mail para as vítimas poderem entrar em contato com os criminosos cibernéticos responsáveis pela atividade nefasta da vez.
Durante a investigação em torno do ransomware Teslacrypt, foram descobertos 1.231 endereços Bitcoin utilizados pelos cybercriminosos. Isto não representa o número total de vítimas, mas sim, aqueles que realmente visitaram o site da TeslaCrypt e tentaram decifrar um arquivo. Os endereços Bitcoin utilizados foram com a intenção de determinar se a vítima pagou o resgate. Destas 1.231 vítimas conhecidas, 163 delas pagaram o resgate, o que representa uma taxa de cerca de 13 por cento. No total, a organização do cybercrime coletou 254,6 bitcoin, convertidos para $ 57.272 em 29 de abril de 2015 e $19.250 em cartões do PayPal para um total de 76.522 dólares entre os dias 07 de fevereiro de 2015 e 28 de abril de 2015.
Saiba Mais:
[1] FireEye https://www.fireeye.com/blog/threat-..._followin.html