Smaug Ransomware

O Smaug Ransomware é uma plataforma de Ransomware-como-um-Serviço (RaaS) que permite que os agentes de ameaças criem campanhas prejudiciais personalizadas por meio de um site Onion da Dark Web. Os pesquisadores de malware descobriram que pelo menos dois autores operam o site, pois o nível de proficiência em inglês difere nas postagens da plataforma. Para utilizar o serviço, os clientes devem contactar os operadores no smaug-ransomware@protonmail.com, pagar uma taxa de registo de 0,2 BTC (cerca de 1.900 USD) no momento do registo, seguida de uma taxa de serviço subsequente de 20%.

As características gerais do Smaug Ransomware mostram que ele pode ser configurado para atacar plataformas Windows, Mac e Linus, incluindo as versões de SO de 64 bits. O malware tem um design comparativamente simples; ele cria uma chave de criptografia exclusiva para cada máquina, pode ser executado totalmente offline e os arquivos criptografados só podem ser descriptografados com a chave privada dos agentes da ameaça. Os arquivos selecionados para criptografia são criptografados com o algoritmo AES, enquanto o arquivo que contém a nota de resgate é denominado “HACKED.txt”.

Ao contrário de outras ameaças semelhantes, o Smaug Ransomware não pode parar os processos em execução. Além disso, esse ransomware não exclui backups ou as Cópias do Shadow Volume no Windows, tornando possível para as vítimas recuperarem os seus dados sequestrados. Até agora, apenas duas amostras do Smaug Ransomware foram analisadas, e esse RaaS não parece ter muita força na Dark Web. Uma característica interessante é que o Smaug Ransomware proíbe ataques contra países da Comunidade dos Estados Independentes (CEI).