Operadores do VenusLocker Ransomware Se Mudam para a Mineração de Criptomoedas
VenusLocker é uma família de ransomware que apareceu no verão de 2016. Ele nunca conseguiu se tornar a ameaça mais prolífica de seu tipo, e não há muitas estatísticas sobre quantos usuários foram afetados. O fato de seus operadores administrarem a empresa por um ano e meio, no entanto, mostra que eles provavelmente lucraram muito com ela. A questão é que os tempos mudaram um pouco.
Após os desastres do WannaCry, (não) Petya e Bad Rabbit, muitas pessoas perceberam que tipo de perigos o ransomware representa. Tanto organizações quanto usuários individuais estão investindo em soluções de backup, o que significa que eles podem se recuperar de um ataque de ransomware sem encher as carteiras de Bitcoin dos bandidos.
Falando em Bitcoin, você já deve ter ouvido falar que o valor de praticamente todas as criptomoedas está subindo nos últimos tempos. E isso apresenta uma infinidade de oportunidades de lucro para os cibercriminosos. Os cavalos de Troia bancários e os Trojans de acesso remoto (RATs), por exemplo, agora têm como alvo carteiras de criptomoeda e aplicativos bancários. Os scripts que usam o hardware dos visitantes para extrair dinheiro digital são injetados em sites não seguros e, é claro, existem mineradores dedicados que são distribuídos às vítimas usando vários métodos. O que nos leva de volta à gangue VenusLocker.
De acordo com uma publicação no blog da Fortinet, eles agora decidiram que, por mais lucrativa que seja a operação de ransomware, podem ganhar ainda mais dinheiro espalhando os mineradores Monero.
Monero (XMR) é uma criptomoeda que foi introduzida em 2014. 1 XMR atualmente vale cerca de US $ 470, um pouco menos que 1 Bitcoin. A decisão dos bandidos de ir para Monero não é um erro. Como explicam os especialistas da Fortinet, a mineração de Bitcoins em computadores comuns não é realmente viável hoje em dia. Além disso, a criptomoeda mais recente fornece maior anonimato quando se trata de transferir ganhos ilegais.
A mudança de ransomware para mineração é certamente uma jogada interessante por parte dos operadores do VenusLocker. E eles não estão apenas testando as águas também. De fato, a engenharia social nos emails de spear phishing que Fortinet examinou mostra que os ataques são direcionados a organizações específicas e são cuidadosamente premeditados.
Os funcionários de um vendedor de roupas on-line na Coréia do Sul, por exemplo, receberam um e-mail informando que seu site havia sido invadido. Outra empresa coreana recebeu uma mensagem indicando que havia usado imagens sem as permissões necessárias. Como sempre, os bandidos tentaram enganar as vítimas, pensando que mais detalhes estão disponíveis nos arquivos anexados.
Os anexos vêm na forma de arquivos EGG. O EGG é um formato de arquivo e traz duas vantagens principais para a turma do VenusLocker. É uma maneira incomum de distribuir malware, e os scanners podem falhar em examiná-lo mais de perto. Além disso, embora não seja amplamente usado na Europa e na América, o formato foi desenvolvido por uma empresa sul-coreana, o que significa que as vítimas visadas provavelmente suspeitarão menos dele.
O arquivo em si contém um arquivo executável oculto (o minerador real) e vários atalhos apontando para ele. Os atalhos parecem imagens e / ou documentos e, como o corpo do email instrui as vítimas a abrir esses tipos de arquivos, é provável que elas cliquem neles e iniciem o minerador inadvertidamente. Fortinet apontou que essa é exatamente a mesma técnica usada pela gangue VenusLocker quando eles estavam espalhando seu ransomware.
O próprio minerador é chamado XMRig, um projeto de código aberto projetado especificamente para minerar o Monero em máquinas Windows. Os criminosos aparentemente decidiram que não há sentido em criar software de mineração sob medida quando há muitas soluções gratuitas e amplamente disponíveis. No entanto, eles tentaram ocultá-lo executando o binário como um thread remoto em um componente legítimo do Windows Update.
A pergunta de um milhão de dólares aqui é: "A mineração ilegal de criptomoedas se tornará mais lucrativa do que extorquir dinheiro de pessoas com ransomware?" Não há como saber quanto a gangue VenusLocker ganhou durante a campanha descrita pela Fortinet, e é justo dizer que as tendências provavelmente serão ditadas pelo valor das criptomoedas. Algumas pessoas podem pensar que se os ataques de mineração ultrapassarem as infecções por ransomware, isso será uma boa notícia para os usuários, pois, pelo menos, os mineradores de criptomoeda são muito menos destrutivos e fáceis de remediar. A verdade é, no entanto, a pressão que eles exercem sobre o hardware é enorme e ainda podem significar problemas.
Uma coisa é tão certa quanto o nascer do sol: os cibercriminosos não param de procurar novas maneiras de aumentar sua lucratividade. A ganância realmente não tem limites.