Mercado fechado
  • BOVESPA

    113.282,67
    -781,69 (-0,69%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.105,71
    -358,56 (-0,70%)
     
  • PETROLEO CRU

    73,95
    +0,65 (+0,89%)
     
  • OURO

    1.750,60
    +0,80 (+0,05%)
     
  • BTC-USD

    42.615,71
    +1.169,08 (+2,82%)
     
  • CMC Crypto 200

    1.067,20
    -35,86 (-3,25%)
     
  • S&P500

    4.455,48
    +6,50 (+0,15%)
     
  • DOW JONES

    34.798,00
    +33,18 (+0,10%)
     
  • FTSE

    7.051,48
    -26,87 (-0,38%)
     
  • HANG SENG

    24.192,16
    -318,82 (-1,30%)
     
  • NIKKEI

    30.248,81
    +609,41 (+2,06%)
     
  • NASDAQ

    15.319,00
    +15,50 (+0,10%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2556
    +0,0306 (+0,49%)
     

Diavol: novo ransomware pode ser de grupo bem conhecido

·3 minuto de leitura

Uma análise especializada da praga de sequestro digital Diavol, que vem liderando rankings de ameaças globais desde junho, apontou que a praga pode ser a mais nova obra do já conhecido grupo cibercriminoso TrickBot. As similaridades em códigos, funcionamento, formatos de envio de dados e preferência de idioma mostram um desenvolvedor em comum e, também, que o escrutínio das autoridades ainda passa longe de interromper a ação do bando.

O relatório do time de segurança X-Force, da IBM, corrobora achados que já haviam sido feitos em julho pela Fortinet. A partir de uma análise de uma versão preliminar do Diavol, da época em que ele parecia ainda estar em fase de testes, revelou elementos de programação semelhantes ao do Anchor DNS, outro malware atribuído ao TrickBot e usado em ataques contra corporações de alto escalão.

A versão, datada de março de 2021, se comunica com servidores sob o controle dos criminosos enviando nomes de usuário, identificadores e a versão do Windows dos sistemas comprometidos, como forma de entregar aos criminosos um inventário das intrusões bem-sucedidas. O formato como o dado é complicado, assim como dos próprios dígitos atribuídos a cada máquina infectada, é idêntico ao usado pelos bandidos.

O inventário também serve para a principal forma de atuação do TrickBot, que é o sistema de ransomware como serviço. As soluções maliciosas desenvolvidas por eles são vendidas a terceiros interessados em praticar ataques, com divisão de lucros com os autores originais, que também fornecem suporte, sistemas de controle e avaliação de plataformas comprometidas, bem como eventuais vulnerabilidades que possam ser exploradas.

Código apresenta menção ao idioma russo

Diversas menções ou utilizações do idioma russo também aparecem ao longo do código, como no cabeçalho das comunicações com os servidores e a preferência por arquivos e sistemas operacionais do país. Ao contrário do que normalmente é dito, entretanto, os bandidos não teriam afiliação ao governo do país, pois atacam companhias de lá, bem como da Comunidade dos Estados Independentes, formada a partir da antiga União Soviética.

A comparação entre as duas análises de especialistas também mostra que as menções à Rússia foram removidas do código final, que foi efetivamente utilizado em ataques contra corporações a partir de junho. Eles não constam na amostra avaliada pela Fortinet, no que poderia ser uma forma de esconder as origens da praga ou aumentar seu escopo, apesar de a IBM apontar que os recursos estão desenvolvidos a tal ponto que indicam a intenção de uso, seja em futuras versões ou variantes do malware focadas no território.

Mais do que isso, a localização de diferentes edições do Diavol também mostra que o bando está evoluindo o malware, de forma a torna-lo mais eficaz e furtivo aos sistemas de segurança. Novamente, a ideia é que a forte atenção, principalmente das autoridades americanas, sobre os criminosos do TrickBot não está impedindo sua atuação direta, algo que, por si só, já era provado pela presença constante em listas mensais de ameaças mais populares.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos