AlumniLocker Ransomware

Os pesquisadores de Infosec descobriram uma nova ameaça potente de ransomware baseada no Thanos (Tycoon) Ransomware detectado anteriormente. Esta nova variante do Thanos Ransomware é chamada de AlumniLocker Ransomware e exibe algumas características incomuns que podem sinalizar que o grupo responsável por ele ainda é bastante inexperiente na realização de campanhas de ataque de ransomware.

 Como um vetor de violação inicial, o AlumniLocker emprega e-mails de phishing que carregam anexos PDF corrompidos. O corpo do e-mail e o arquivo anexado são projetados para se parecer com uma fatura importante na tentativa de fazer o usuário-alvo abrir o arquivo o mais rápido possível. Dentro do PDF da fatura falsa, os usuários encontrarão um link que, quando clicado, colocará um arquivo ZIP contendo um downloader em seus computadores.

 A carga útil AlumniLocker é então buscada e executada por um script PowerShell disfarçado como um arquivo JPG. O método para iniciar o ransomware abusa de um módulo Background Intelligent Service Transfer (BITS). Uma vez implantada, a ameaça irá criptografar os arquivos da vítima e anexar '.alumni' aos seus nomes originais como uma nova extensão. Após a conclusão da rotina de criptografia, um arquivo de texto contendo instruções para a vítima será gerado.

É aqui que aparece o primeiro aspecto peculiar do AlumniLocker Ransomware. Aparentemente, os cibercriminosos querem receber a quantia de 10 Bitcoins se quiserem enviar a ferramenta de descriptografia para suas vítimas. O preço do Bitcoin é notório por sua volatilidade, mas na taxa atual, 10 bitcoins valem mais de US $500.000, uma quantia que poucos indivíduos ou mesmo organizações têm simplesmente por aí. Os hackers também parecem ter alguma noção dessa realidade, pois também têm um plano de backup de chantagem. As vítimas são avisadas de que, se não pagarem o resgate em 48 horas, as informações coletadas do sistema comprometido pelo AlumniLocker serão publicadas em um site especificamente criado. Seguir o link, no entanto, mostra que, no momento em que o AlumniLocker foi descoberto, o site estava inacessível.

 O resgate exorbitante, juntamente com o site de vazamento não funcional, são sinais de que o grupo de hackers por trás do AlumniLocker pode estar em sua infância.