Novos Ataques do ColdLock Ransomware em Taiwan
Uma aparentemente nova variedade de ransomware foi usada no início de maio de 2020, no ataque a organizações de Taiwan. Parece que o ransomware é membro de uma família totalmente nova, pois possui apenas pequenas semelhanças com os ransomwares existentes. Os pesquisadores nomearam a nova linhagem como ColdLock.
ColdLock - Uma Ameaça de Ransomware com Alguns Truques Familiares
O ataque afetou exclusivamente organizações localizadas em Taiwan e não há evidências de vítimas fora das poucas que foram especificamente visadas pelo ataque. O vetor de infiltração ainda não está claro, mas os especialistas acreditam que os maus autores assumiram os servidores do MS Active Directory de suas vítimas e conseguiram modificar as políticas de grupo e colocar a carga útil nos sistemas.
Embora os pesquisadores considerem o novo ColdLock ransomware uma variedade separada, eles também apontaram que existem certas semelhanças entre o ColdLock e ransomwares existentes, tais como o Freezing Ransomware, o LockerGoga e o ransomware de código aberto EDA2, que foi baseado no HiddenTear. O novo ransomware compartilha a mesma extensão de arquivo criptografada com o LockerGoga (.locked), mas essa extensão não é exclusiva do LockerGoga e é compartilhada por várias outras ameaças. A conexão com o Freezing é muito mais confiável, pois o ColdLock usa um método semelhante para se espalhar pelas redes infectadas e possui semelhanças na arquitetura do módulo.
A carga útil do ColdLock é entregue como um executável .NET compactado e criptografado com o ConfuserEx. O ransomware realiza várias digitalizações e rotinas de preparação, verificando se ele já infectou o sistema e desligando vários processos e serviços. A lista de extensões que o ColdLock criptografa varia significativamente e depende de várias digitalizações e critérios diferentes que o ransomware determina em tempo real. A nota de resgate aparece em vários locais diferentes nos sistemas infectados, incluindo os itens da área de trabalho e de inicialização.