Os pesquisadores descobriram uma nova versão do GandCrab - mas não há evidências de que o ransomware esteja usando a mesma exploração SMB que o Wannacry.
Uma nova versão da ameaça evolutiva do ransomware, GandCrab, foi identificada pelos pesquisadores - mas a evidência da nova auto-propagação de malware através da exploração SMB (Server Message Block) do protocolo de transporte do Windows ainda permanece para ser vista.
Pesquisadores de segurança da Fortinet disseram que identificaram a versão 4.1 do GandCrab em estado selvagem. O ransomware foi descoberto pela primeira vez há seis meses, mas já cresceu e evoluiu continuamente para se tornar uma formidável e ameaçadora amostra de ransomware em 2018.
Relatórios recentes, sugerindo que o ransomware explorou uma vulnerabilidade no protocolo de transporte SMB usado por máquinas Windows, inclusive no XP e no Windows Server 2003, causaram preocupação.
A exploração SMB (EternalBlue) foi usada nos ataques de ransomware WannaCry destrutivos em 2017. Isso significa que se os relatórios forem verdadeiros, os desenvolvedores do GandCrab começaram a empurrar seu malware para PCs Windows XP e 2003 vulneráveis, escreveu o pesquisador de segurança Kevin Beaumont em um post sobre o ransomware no início deste mês.
“Impacto nos sistemas XP e 2003 legados sugere que alguns ambientes mais antigos podem acabar em risco onde há uma prática de segurança insatisfatória - por exemplo, nenhum software antivírus funcional”, escreveu ele. E enquanto um patch ( MS17-010 ) para a exploração SMB (que inclui o Windows XP e 2003) foi lançado pela Microsoft após o WannaCry, muitos desses sistemas legados não foram atualizados.
No entanto, enquanto a nova versão contém um novo método de comunicação de rede, os pesquisadores disseram que não conseguiram encontrar evidências de que o malware pode se auto-propagar através da exploração do Windows SMB.
“Como não vimos nenhum relatório técnico para a reivindicação, decidimos investigar e confirmar esse rumor, uma vez que essa funcionalidade não foi observada durante nossa análise anterior. No entanto, isso não adiantou ”, disseram os pesquisadores em um post recente sobre a mais nova amostra do GandCrab.
Rumores sugeriram que um módulo apelidado de “network f ** ker”, encontrado em uma seqüência de depuração do binário do malware, é supostamente responsável por realizar a exploração do SMB.
Pesquisadores disseram que encontraram este módulo string na versão 4.0 do malware (não em amostras da versão 4.1 mais recente, no entanto), mas não encontraram nenhuma função real que se assemelhe à capacidade de exploração relatada.
"Como essa string não está conectada a nenhuma função de difusão de exploração real que possamos descobrir, parece muito mais provável que ela esteja simplesmente se referindo à criptografia dos compartilhamentos de rede e não a qualquer tipo de propagação de exploração", disseram eles.
Nova tática de comunicação
Apesar de não haver evidências de aproveitar a exploração SMB, a mais nova amostra do ransomware vem com outros truques maliciosos, incluindo uma nova tática de comunicação de rede: “Esta nova versão do malware GandCrab contém uma lista de comprometimento invulgarmente longa e codificada. websites aos quais ele se conecta ”, disse o pesquisador da Fortinet . "Em um binário, o número desses sites pode chegar a quase mil hosts únicos".
O GandCrab 4.1 se conecta a uma das URLs na lista e envia dados coletados das vítimas - incluindo o endereço IP, nome do computador, nome da rede, nome de usuário e lista de ferramentas anti-malware presentes no sistema.
Curiosamente, os pesquisadores disseram que não encontraram nenhuma evidência definitiva de que os sites embutidos no malware tenham sido comprometidos para atuar como servidores ou sites de download para o GandCrab.
"Ainda mais curioso, o fato é que enviar informações de vítimas para todos os hosts ao vivo na lista é ilógico em um sentido prático, dado que um único envio bem-sucedido teria sido suficiente para seus propósitos", disseram os pesquisadores. “Com esses pontos em mente, começamos a pensar que essa função é experimental ou simplesmente existe para desviar a análise e que as URLs incluídas na lista são apenas vítimas de mau humor.”
Os pesquisadores também descobriram que a versão mais recente do GandCrab está programada para matar vários processos "para garantir a criptografia completa dos arquivos de destino". Esses processos incluem msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe e oracle.exe.
"Eliminar esses processos permite que a rotina de criptografia complete sua meta sem interrupções indesejáveis", disseram os pesquisadores. “Além disso, esses tipos de arquivos direcionados geralmente contêm dados que são valiosos para a vítima e, portanto, aumentam a probabilidade de que a vítima considere efetuar um pagamento para recuperar seus arquivos.”
GandCrab - um longo passado
Em março, pesquisadores da Check Point disseram que o grupo por trás do GandCrab infectou mais de 50.000 vítimas, principalmente nos EUA, no Reino Unido e na Escandinávia. E em apenas dois meses após o primeiro grupo de ransomware dos negócios, os criminosos ganharam até US $ 600.000.
O malware é particularmente complicado, pois foi continuamente ajustado para lidar com possíveis obstáculos - como a polícia romena e a Europol, que confisca servidores de comando e controle ligados às campanhas do ransomware em março, ou um decodificador gratuito lançado em março.
O ransomware foi descoberto mais recentemente por pesquisadores da Cisco Talos como parte de várias campanhas de spam em grande escala em maio .
Apesar da falta de evidências para a “exploração das pequenas e médias empresas”, pesquisadores da Fortnet alertaram que o GandCrab continuará a evoluir e poderá adotar o método no futuro.
"No entanto, com o rápido desenvolvimento do GandCrab na semana passada e a especulação pública sobre essa funcionalidade de propagação de exploits, não seria uma surpresa se os agentes de ameaças decidissem adicioná-lo em uma atualização futura", disseram eles.
FONTE:THREATPOST
Comentários
Postar um comentário