Shade Ransomware opera deixa de funcionar
Um relatório recente afirma que os operadores do Shade estariam encerrando todas as suas operações. Com isso, a maior variedade de ransomware em execução desde 2014 – quando os pesquisadores de segurança detectaram os dados da vítima criptografada das variantes – chega ao fim. A gangue dos criminosos atua desde esse momento, com campanhas sendo realizadas a uma taxa bastante constante. Suas atividades caíram de um penhasco com seus anúncios:
“Somos a equipe que criou um trojan-encryptor conhecido principalmente como Shade, Troldesh ou Encoder.858. De fato, paramos sua distribuição no final de 2019. Agora, decidimos colocar o último ponto nesta história e publicar todas as chaves de descriptografia que temos (mais de 750 mil no total). Também estamos publicando nossa decriptografia; também esperamos que, com as chaves, as empresas de antivírus publiquem suas próprias ferramentas de descriptografia mais fáceis de usar. Todos os outros dados relacionados à nossa atividade (incluindo os códigos-fonte do Trojan) foram irrevogavelmente destruídos. Pedimos desculpas a todas as vítimas do cavalo de Tróia e esperamos que as chaves que publicamos os ajudem a recuperar seus dados. ”
O The Gang foi ao GitHub em 2019 para fazer este anúncio. Esta mensagem confirma que a quadrilha liberou cerca de 750.000 chaves de descriptografia para ajudar as vítimas a recuperar seus arquivos. Eles fizeram como um ato de boa fé. O pesquisador da Kaspersky Labs, Sergey Golovanov, já verificou essas chaves. A empresa de segurança agora está trabalhando em uma ferramenta de descriptografia que tornaria o processo de descriptografia muito mais fácil. Nada foi anunciado sobre os dados quando esta ferramenta será lançada, no entanto, pode-se prever que isso estará disponível em breve. Os Kaspersky Labs são os que têm a experiência de lidar com o Shade ao lançar várias ferramentas de descriptografia.
Embora a liberação da ferramenta possa ser vista como um ato de boa fé, ela vem com várias advertências. É verdade que o lançamento da ferramenta ajudará várias vítimas a acessar seus dados criptografados pelo ransomware. Esta versão da ferramenta ajuda o Kaspersky a criar um muito necessário para ser um decodificador concedido.
Como dito anteriormente na introdução, a história do shadow ransomware começou em 2014. A turma distribuiu-a usando campanhas de email por spam e kits de exploração dos dois. Não foi um esforço perfeito, como pode ser visto por vários programas de descriptografia desenvolvidos pela Kaspersky e outras empresas de segurança. O primeiro método de distribuição foi descoberto pelo Avast. Ocorreu em junho de 2019, quando a empresa de segurança conseguiu bloquear 100.000 instâncias de ransomware, rastreadas como Troldesh. A campanha teve como alvo indivíduos nos EUA, Reino Unido e Alemanha. No entanto, de longe, a maior detecção ocorreu na Rússia e no México. A Avast observou que o ransomware havia sido espalhado por e-mails de spam, instâncias do malware foram vistas distribuídas por mídias sociais e plataformas de mensagens. Eles notaram ainda:
“Vimos um aumento no número de ataques que provavelmente tem mais a ver com os operadores do Troldesh tentando forçar essa tensão com mais força e eficácia do que qualquer tipo de atualização significativa de código. O Troldesh está se espalhando na natureza há anos com milhares de vítimas com arquivos resgatados e provavelmente permanecerá predominante por algum tempo. ”
A segunda campanha foi analisada pelo MalwareBytes. Eles fizeram isso quando lidavam com um pico em uma detecção que começou no final de 2018 e durou até a metade do primeiro trimestre de 2019. O pico na atividade parece que as gangues de ransomware começaram a diminuir a distribuição em favor da distribuição de outros malwares como mineradores de criptomoeda.
Novamente, o ransomware foi espalhado através da anexação do código malicioso a ele em algum arquivo como anexo de um email de spam. O arquivo costumava ser zip, se aberto – extraia um arquivo JavaScript contendo a carga útil do ransomware. Uma vez executada, a infecção começaria com a criptografia de arquivos e seus anexos com determinado nome de extensão. Um arquivo .txt apareceu a seguir com instruções sobre como pagar o resgate para que os arquivos sejam descriptografados. Os pesquisadores declararam:
“As vítimas de Troldesh recebem um código exclusivo, um endereço de email e uma URL para um endereço de cebola. Eles são solicitados a entrar em contato com o endereço de e-mail mencionando seu código ou acessar o site da cebola para obter mais instruções. Não é recomendável pagar aos autores do resgate, pois você financiará a próxima onda de ataques. O que diferencia o Troldesh de outras variantes de ransomware é o grande número de arquivos leia-me # .txt com a nota de resgate solta no sistema afetado e o contato por e-mail com o agente da ameaça. Caso contrário, ele emprega um vetor de ataque clássico que depende muito de enganar vítimas desinformadas. No entanto, teve bastante sucesso no passado e em sua atual onda de ataques. Os decodificadores gratuitos que estão disponíveis funcionam apenas em algumas das variantes mais antigas; portanto, as vítimas provavelmente terão que confiar em backups ou recursos de reversão. ”
Embora uma gangue tenha decidido interromper todas as operações, para muitas, isso é normal. Portanto, você não deve baixar a guarda. A equipe de inteligência de proteção contra ameaças da Microsoft emitiu um aviso de que, desta vez, os invasores não ameaçam divulgar os dados publicamente, isso não significa que eles não os roubaram. Além disso, eles declararam:
“Vários grupos de ransomware que acumulam acesso e mantêm a persistência nas redes de destino por vários meses ativaram dezenas de implantações de ransomware nas duas primeiras semanas de abril de 2020. Até agora, os ataques afetaram organizações de ajuda, empresas de cobrança médica, manufatura, transporte, governo instituições e fornecedores de software educacional, mostrando que esses grupos de ransomware dão pouca atenção aos serviços críticos que afetam, apesar da crise global. Esses ataques, no entanto, não se limitam a serviços críticos, portanto as organizações devem estar atentas a sinais de comprometimento. ”
Você deve se defender contra a vítima das gangues de ransomware. A Microsoft aconselha os administradores de rede a vasculhar o PowerShell, o Cobalt Strike e outras ferramentas de teste de penetração. Eles também devem procurar acesso suspeito ao Serviço de subsistema da autoridade de segurança local e modificação suspeita do registro, além de evidências de violação dos logs de segurança. Estes conselhos são devido a estas vulnerabilidades:
- Pontos de extremidade RDP ou área de trabalho virtual sem autenticação multifatorial
- Servidores Microsoft Exchange afetados pelo CVE-2020-0688
- Sistemas Zoho ManageEngine afetados pelo CVE-2020-10189
- Sistemas Citrix ADC afetados pelo CVE-2019-19781
- Sistemas VPN seguros por pulso afetados pelo CVE-2019-11510
- Servidores Microsoft SharePoint afetados pelo CVE-2019-0604