• Ransomware Kovter: Mudanças de Propósitos no Cenário Cibernético

    Publicado em 20-04-2016 01:00
    0 Comentários Comentários
    No que diz respeito a pesquisa relacionada à segurança cibernética, a família de malware "Kovter" pode ser considerada muito interessante. Isso porque essa cepa de malware foi muito difundida e acabou sendo encontrada em diferentes partes do cenário cibernético. Isso quer dizer, que Kovter foi submetido a extensas mudanças tanto em relação ao seu propósito e tanto quanto nos métodos que a praga utiliza. Durante o ano de 2013, Kovter agiu como um ransomware police, ou melhor dizendo, ele era um "Police Scareware". Quando foi em 2014 e 2015, o mesmo Kovter passou a realizar atividades como a perigosa "fraude do clique", que é um tipo de investida que ainda faz muitas vítimas pelo mundo todo. Agora em 2016, o ransomware evoluiu novamente, passando a mostrar uma outra faceta, direcionado a um outro tipo de atividade. No entanto, esta transição final parece precipitada, revelando que a criptografia do ransomware Kovter seria relativamente "simples" e fácil de quebrar - o que seria uma maneira rápida para os cybercriminosos ganharem dinheiro "extra", uma vez que um sistema estiver infectado. Vale ressaltar que em todas as suas variações, Kovter mantém as suas capacidades de legado, incluindo uma espécie de monitoramento no tráfego do usuário e a obtenção de informações pessoais.


    Sendo uma praga cada vez mais persistente e difícil de detectar, os sistemas ainda pode ser comprometidos por outros "recursos" do Kovter - mesmo depois de a vítima pagar o resgate para recuperar seus arquivos. Em constante evolução relacionadas à técnicas de evasão, isso muda completamente os percentuais das taxas de detecção, mantendo o comportamento do hospedeiro relativamente baixo durante um longo período de tempo. E concentrando-se no lado técnico do Kovter e nos diferentes estágios de sua evolução, é possível perceber o quão ardiloso e perigoso este ransomware é. Com a utilização de assinaturas forenses SandBlast Agent's, foi possível analisar o comportamento do ransomware Kovter e a sua capacidade de mudar completamente em relação às tecnologias utilizadas para suas investidas.


    Kovter 2013: Ransomware Police

    Durante o ano de 2013, Kovter agiu como um ransomware police -fazendo um verdadeiro "remaining on the device", monitorando o tráfego do usuário, na espera de que algo relevante acontecesse. Uma vez que um usuário digitasse suas credenciais de conta ou usasse aplicativos de compartilhamento de arquivos para download de arquivos não solicitados, Kovter exibia uma mensagem, informando que o usuário violou a lei, exigindo que este teria que pagar uma multa pela tal violação. Esta atividade exige muito tempo - e pode nunca ocorrer, além de que Kovter ainda pode ser detectado antes que consiga atingir o seu intuito. Tecnicamente, Kovter usa um executável polimórfico que persiste na máquina infectada, tomando conhecimento da atividade do usuário através dos métodos de observação.


    Saiba Mais:

    [1] CheckPoint http://blog.checkpoint.com/2016/04/1...YwMog0.twitter
    + Enviar Comentário