MongoLock Ransowmare
O MongoLock Ransomware é um Trojan que foi descoberto em setembro de 2018 e recebeu uma pequena atualização em dezembro de 2018. A ameaça cibernética recebeu esse nome devido ao perfil das vítimas que alegou. Os atores de ameaças examinaram os servidores MongoDB conhecidos pela Internet e identificaram sistemas vulneráveis. Os atores continuaram infectando os servidores visados e limpando os bancos de dados hospedados. Os administradores de sistema receberam um arquivo de texto simples chamado 'Warning.txt', que foi descartado como um dos principais arquivos de configuração na estrutura do MongoDB. O arquivo 'Warning.txt' era uma nota de resgate informando aos administradores do servidor que eles estavam comprometidos e a única maneira de recuperar os dados perdidos era transferir 0,1 Bitcoin (324 USD/285 EUR) para um endereço de carteira definido e gravar no endereço de e-mail 'unlockandrecover@pm.me'. Observe que o MongoLock Ransomware se comporta como um limpador de dados e não deixa dados criptografados nos servidores infectados. Os operadores de servidores são recebidos por bancos de dados vazios e disfuncionais quando detectam a invasão de terceiros.
A nota de resgate no 'Warning.txt' diz:
'Aviso!
Seu arquivo e banco de dados são baixados e armazenados em backup em nossos servidores seguros. Para recuperar seus dados perdidos: Envie 0,1 BTC para o nosso endereço BitCoin e entre em contato conosco por e-mail com o endereço IP do servidor e um comprovante de pagamento. Qualquer e-mail sem o endereço IP do servidor e um comprovante de pagamento juntos serão ignorados. Descartaremos o backup após 24 horas. Você é bem vindo!
Correio: unlockandrecover@pm.me
BitCoin: 1NrZsNppQqXNiYnu34MPo6K2sHYyMPjR4h '
A primeira e a segunda ondas de ataques são atribuídas aos mesmos atores de ameaça, a julgar pelas pequenas alterações nos componentes principais do programa e pelo uso contínuo da conta de email 'unlockandrecover@pm.me'. As empresas e usuários regulares são aconselhados a certificar-se de que instalaram a versão mais recente do MongoDB e implementaram uma Política de acesso forte para minimizar o risco de serem infectados com o MongoLock Ransomware. Sabe-se que a ameaça em questão é limpar os discos de memória e é melhor ter backups externos configurados. As empresas de antivírus se referem aos ataques do MongoLock Ransomware usando os seguintes alertas de segurança:
HEUR/QVM11.1.A055.Malware.Gen
ML.Attribute.HighConfidence
Ransom.Cryptor / Variant
Trojan (0053ef601)
Trojan-FQDP! 7710604C5FF0
Trojan.Agent! UGf3fNXXHas
Trojan.Generic.D26BABE9
Trojan.Generic.csqhd
Trojan / Win32.FileCoder.R239529
W32/Generic.AC.429112
W32/Trojan.BPGO-5187
Win32: Trojan-gen
uma variante do Win32 / Filecoder.NSG
