Informagno | Gestão em TI

Ransomware como distração

pesquisadores analisaram o malware HermeticRansom, também conhecido como Elections GoRansom. Em geral, este é um cryptor bastante simples. O que é interessante neste caso é o propósito para o qual os invasores o estão usando.

Objetivos do HermeticRansom

O HermeticRansom atacou computadores ao mesmo tempo que outro malware conhecido como HermeticWiper e, com base em informações publicamente disponíveis da comunidade de segurança, foi usado em recentes ataques cibernéticos na Ucrânia. De acordo com nossos especialistas, a relativa simplicidade e a implementação questionável do fluxo de trabalho de malware sugerem que o HermeticRansom foi usado como uma cortina de fumaça para os ataques do HermeticWiper.

O que o HermeticRansom é capaz de fazer

Depois de infectar o computador da vítima, o malware primeiro identifica os discos rígidos e coleta uma lista de diretórios e arquivos localizados em todos os lugares, exceto nas pastas Windows e Arquivos de Programas. Em seguida, ele criptografa certas categorias de arquivos e os renomeia adicionando uma tag .encrypted e o endereço de e-mail dos operadores de ransomware. O malware também cria um arquivo read_me.html na pasta Desktop contendo uma nota de resgate com os contatos dos invasores. A nota é assim:Nota de resgate deixada pelo malware HermeticRansom

Nota de resgate deixada pelo malware HermeticRansom

O HermeticRansom criptografa arquivos com as seguintes extensões: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi e odt.

Peculiaridades do HermeticRansom

O HermeticRansom está escrito em Golang. Ele não usa nenhum mecanismo de ofuscação, e o próprio método de criptografia é bastante complicado e ineficiente. A julgar por esses e alguns outros sinais, nossos especialistas acham que esse malware foi criado às pressas.

Você pode encontrar uma análise técnica mais detalhada do malware junto com indicadores de comprometimento em nosso blog Securelist.