Esta não é a primeira vez que vimos este tipo de serviço. A McAfee anteriormente (em maio deste ano de 2015) relatou a detecção e identificação do Tox. Enquanto Tox foi o primeiro ransomware-as-a-service encontrado, parece que ORX tomou a idéia um passo adiante, com os métodos de evasão relacionados à soluções AV e técnicas de comunicação complexas, e, aparentemente, também usando universidades e outras plataformas como sua infra-estrutura. No "August 2015 IBM Security IBM X-Force Threat Intelligence Quarterly, 3Q 2015", publicado na segunda-feira (24 de agosto, 2015), a IBM havia mencionado TOX enquanto previa que essa simplicidade que lhe é inerente, pode se espalhar rapidamente para paradigmas mais sofisticados, porém, menos comuns de ataques ransomware. Assim, esse cenário propicia oefertas do tipo off-the-shelf na nuvem. Apenas um dia depois dessa divulgação, um post foi publicado em um fórum privado na Darknet, que fazia referência sobre o novo serviço ORX-Locker.
ORX - Primeira Aparição
Em 25 de agosto, 2015, um usuário apelidado de "Orxteam", publicou um post sobre o novo serviço de ransomware. A mensagem, que era parte de sua postagem introdutória - um post obrigatório que cada novo usuário tem que fazer para ser aceito como integrante do fórum - descreveu o novo ransomware ORX-Locker como uma plataforma de serviços. Na introdução, o usuário se apresentou como Team ORX, um grupo que fornece software privado (seu nome para ransomware) e também uma plataforma de Ransomware-as-a-Service.
ORX Locker Online Platform
Team ORX vem construindo um site na Darknet dedicado ao novo serviço público. Para entrar no site, os novos usuários só precisam se registrar. Nenhum e-mail ou outra identificação com maiores detalhes são necessários. Após efetuar o registro, os usuários têm a opção de inserir um nome de usuário de referência, e depois de fazer o login, o usuário pode mover-se entre cinco seções, que são:
Home - a tela de boas vindas, onde os usuários podem ver as estatísticas sobre a quantidade de sistemas que foi bloqueado através do ransom, quantas vítimas decidiram pagar pelo resgate para ter seus arquivos de volta, quanto eles ganharam com a atividade e qual seu saldo atual.
Build EXE - Team ORX tornou o processo de criação uma tarefa tão simples que a única coisa que um usuário precisa fazer é digitar um número de identificação para seu stub (5 dígitos no máximo) e o preço do resgate (ORX deve colocar um mínimo de US$ 75). Depois disso, o usuário vai clicar no botão "Build EXE" e o stub será criado e apresentado em uma tabela com todos os outros stubs previamente criados pelo usuário.
Stats - Esta seção apresenta ao usuário algumas informações sobre os sistemas infectados com a sua atividade, incluindo o sistema operacional, quantos arquivos foram criptografados, hora e data na qual ocorreu a infecção, qual o valor do lucro gerado por cada sistema, dentre outras informações igualmente importantes.
Wallet - na sequência de um comprometimento muito bem sucedido, o usuário pode retirar seus ganhos e transferi-los para um endereço Bitcoin de sua escolha.
Support - Esta seção disponibiliza informações gerais sobre o serviço, incluindo mais informações sobre como construir o stub e um endereço de email no qual os usuários podem entrar em contato, caso necessitem de suporte (orxsupport@segura-mail[.]net).
Ransomware
Quando um usuário faz o download do "stub" criado, ele recebe um arquivo .zip contendo o "stub", na forma de um arquivo com extensão ".exe". Tanto o zip e os nomes "stub" consistem em uma seqüência aleatória, com até 20 caracteres. Cada arquivo tem um nome diferente. E uma vez executado, o ransomware começa a se comunicar com vários endereços IP. O que se segue é um exemplo da análise realizada:
130[.]75[.]81[.]251 – Leibniz University of Hanover
130[.]149[.]200[.]12 – Technical University of Berlin
171[.]25[.]193[.]9 – DFRI (Swedish non-profit and non-party organization working for digital rights)
199[.]254[.]238[.]52 – Riseup (Riseup provides online communication tools for people and groups working on liberatory social change)
Como vocês podem ver, alguns dos endereços estão relacionados com as universidades e outros para organizações com várias agendas. Após a ativação, o ransomware se conecta ao site oficial do projeto TOR e faz o download do cliente TOR. O malware, em seguida, transmite os dados através deste canal. A utilização de serviços ocultos para estabelecer a comunicação é uma tendência que tem sido adotada por ferramentas de ransomware mais conhecidas no último ano, como foi o caso do perigoso Cryptowall 3.0. A partir de toda esta análise, a comunicação ocorria através da porta padrão 9050 e além da 49201. Portanto, a cartada final seria a realização da criptografia de arquivos na máquina da vítima. Vale ressaltar que a partir do momento em que o ransomware termina de criptografar os arquivos, uma mensagem irá aparecer anunciando que a tarefa foi finalizada, ou seja, que todos os arquivos foram criptografados. Além disso, um arquivo de instrução de pagamento será criado na área de trabalho. No arquivo de instrução de pagamento (.html), a vítima recebe uma ID de pagamento única e um link para o site de pagamento, localizado na rede Onion (rkcgwcsfwhvuvgli[.]Onion). Depois de entrar no local utilizando o ID do pagamento, a vítima recebe um outro conjunto de instruções a fim de finalizar essa transação.
Remoção do Ransomware
Lembrando que ORX Locker normalmente se intromete em seu computador quando você baixar aplicativos freeware empacotados e os instala em seu sistema. Essa praga também pode exercer suas atividades dentro do seu computador através de e-mails de spam, sites suspeitos ou peer to peer de compartilhamento de arquivos. Depois de estar dentro do seu computador, ele irá criptografar todos os arquivos e mostrar mensagem de resgate sempre que você tentar acessar seus arquivos. Além disso, ele afirma que seus arquivos são bloqueados e apenas podem ser recuperados pela chave privada que for gerada para o seu computador. ORX Locker vai exigir que seja pago o resgate dentro do prazo fixado para dar-lhe a chave de decodificação. Diante de uma situação dessas, a pessoa deve seguir as devidas orientações para remover ORX Locker a partir do seu computador com sucesso.
Saiba Mais:
[1] Sensecy http://blog.sensecy.com/2015/08/30/o...other-can-use/