Hackers Brasileiros Começam a Aplicar Golpes com Ransomware

O Grupo de Hackers TeamXRat Tem com Alvo Hospitais e Organizaçōes em Seu Próprio País

Os brasileiros não desconhecem o crime cibernético. Na verdade, os pesquisadores da Kaspersky acham que os hackers brasileiros têm sido responsáveis por alguns tipos de malware. Aparentemente, até não muito tempo atrás, eles eram especialmente competentes na criação de Trojans bancários. No entanto, os últimos meses, os propagadores de ameaças ao redor do globo vem substitindo os Trojan bancários pelos ransomwares devido à sua monetização instantânea e o anonimato que a moeda Bitcoin fornece. Não surpreendentemente, os brasileiros estão tentando acompanhar a tendência.d.

A Kaspersky foi alertada por um hospital brasileiro sobre um novo tipo de ransomware produzido pelo grupo de hackers TeamXRat (também conhecido como CorporacaoXRat). Chamado de Xpan, esse ransomware ataca, especificamente, os hospitals brasileiros e outras organizaçōes relativamente grandes, que, devido à importância das informações (registros de pacientes, etc.) armazenadas nas suas máquinas, aumentam a chance de monetização no ataque.

Quando ativado, o Xpan digitaliza o sistema e criptografa quase todos os arquivos. Em seguida, ele cria uma entrada de registro que exibe a nota de resgate, toda vez que um usuário tenta abrir um arquivo bloqueado. As vítimas são convidadas a contatar os hackers via e-mail. Não surpreendentemente, a comunicação é em Português, e os extorcionistas tentam convencer os usuários infectados de que o objetivo do ataque é incentivar a instituição hackeada a melhorar a segurança dos seus sistemas, o que é uma mentira deslavada. Os hackers estão atrás do dinheiro e não de melhorara segurança dos hospitais brasileiros e a de seus pacientes.

Diante disso, as instituiçōes brasileiras talvez queiram considerar a implementação de algumas ações para proteger os seus sistemas. Os vetores de infecção do Xpan não envolvem anexos de e-mail maliciosos ou drive-by-downloads. Os hackers decidiram distribui-lo forçando o seu caminho na rede através do protocolo remoto da área de trabalho e instalando o malware manualmente.

Como muitas pessoas ao redor do mundo usam senhas fáceis de adivinhar, essa forma particular de infectar os usuários está se tornando cada vez mais popular. Empregar um forte conjunto de credenciais de logon é talvez a mais primitiva das precauçōes, mas, nesse caso em particular, ela pode ser extremamente eficaz. Mesmo que a infecção já tenha acontecido, as instituições afetadas não deveriam ter pressa em pagar o resgate.

As versões anteriores do ransomware do TeamXRat foram baseadas no Xorist. Eles usaram um algoritmo muito simples, o Tiny Encryption Algorithm (TEA), que foi facilmente decifrado pelos especialistas em segurança. Em suas encarnações mais recentes, o Xpan emprega um algoritmo AES-256 muito mais sofisticado.

Existem duas versões: a primeira que acrescenta a extensão ".___xratteamLucked" (três sublinhamentos) nos arquivos criptografados e a segunda que usa ".____xtratteamLucked" (quatro sublinhamentos). As duas versões funcionam de maneiras ligeiramente diferentes, mas os especialistas da Kaspersky acham que ambas podem ser quebradas. Em vez de pagar o resgate, as vítimas devem primeiro procurar a ajuda de especialistas e maneiras de recuperar as informações de graça.