Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/meet-noescape-avaddon-ransomware-gangs-likely-successor/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #conheça #noescape: #o #provável #sucessor #da #gangue #de #ransomware #avaddon
Acredita-se que a nova operação de ransomware NoEscape seja uma reformulação da marca Avaddon, uma gangue de ransomware que fechou e liberou suas chaves de descriptografia em 2021.
O NoEscape foi lançado em junho de 2023, quando começou a atacar a empresa em ataques de dupla extorsão. Como parte desses ataques, os agentes de ameaças roubam dados e criptografam arquivos em servidores Windows, Linux e VMware ESXi.
Os agentes de ameaças ameaçam liberar publicamente os dados roubados se um resgate não for pago. O BleepingComputer está ciente das demandas do ransomware NoEscape, que variam entre centenas de milhares de dólares e mais de US$ 10 milhões.
Como outras gangues de ransomware, o NoEscape não permite que seus membros tenham como alvo os países da CEI (ex-União Soviética), com as vítimas desses países recebendo descriptografadores gratuitos e informações sobre como foram violados.
Neste momento, a gangue de ransomware listou dez empresas de diferentes países e setores em seu site de vazamento de dados, ilustrando que eles não têm como alvo uma vertical específica.
Uma nova marca Avaddon
A operação de ransomware Avaddon lançada em junho de 2020 usando campanhas de phishing para atingir vítimas corporativas.
No entanto, em junho de 2021, um mês depois que o FBI e as autoridades australianas divulgaram os alertas de Avaddon, a gangue do ransomware de repente encerrou sua operação e compartilhou as chaves de descriptografia das vítimas com o BleepingComputer em uma denúncia anônima.
Chaves de descriptografia Avaddon compartilhadas
Desde então, não houve nenhuma atividade conhecida de ransomware ou extorsão associada aos agentes de ameaças até o mês passado, com o lançamento da operação de ransomware NoEscape.
O criador do ID-Ransomware e especialista em ransomware Michael Gillespie disse ao BleepingComputer que os criptografadores de ransomware do NoEscape e do Avaddon são quase idênticos, com apenas uma mudança notável nos algoritmos de criptografia.
Anteriormente, o criptografador Avaddon utilizava AES para criptografia de arquivos, com NoEscape mudando para o algoritmo Salsa20.
Caso contrário, os criptografadores são virtualmente idênticos, com a lógica de criptografia e os formatos de arquivo quase idênticos, incluindo uma maneira exclusiva de "agrupamento dos blobs criptografados RSA".
Além disso, a BleepingComputer determinou que os criptografadores Avaddon e NoEscape usam o mesmo arquivo de configuração e diretivas conforme descrito neste artigo Mandiant e descrito abaixo.
{
"lck":
{
"tampa": "",
"iv_key": "",
"mp_key": ""
},
"ext":
{
"ignorar": [],
"completo": []
},
"caminhos":
{
"pular": [],
"primário": []
},
"configurações":
{
"build_type": "",
"add_to_autorun": ,
"intervalo": ,
"nota_impressão": ,
"definir papel de parede": ,
"large_file_size_mb": ,
"spot_size_mb":
},
"kill_services": [],
"matar_processos": [],
"note_text": ""
}
Embora seja possível que os agentes de ameaças NoEscape tenham comprado o código-fonte do criptografador da Avaddon, vários pesquisadores disseram ao BleepingComputer que acredita-se que alguns dos principais membros da Avaddon agora fazem parte da nova operação de ransomware.
O criptografador NoEscape
Uma amostra do ransomware NoEscape foi compartilhada com o BleepingComputer para que pudéssemos analisá-lo.
Quando executado, o NoEscape executará os seguintes comandos para excluir cópias de volume de sombra do Windows, catálogos de backup locais do Windows e desativar o reparo automático do Windows.
SHADOWCOPY DELETE /nointeractive
wmic SHADOWCOPY DELETE /nointeractive
wbadmin EXCLUIR SYSTEMSTATEBACKUP -deleteOldest
wbadmin EXCLUIR BACKUP -deleteOldest
wbadmin EXCLUIR BACKUP -keepVersions:0
vssadmin Excluir Sombras /Todos /Silencioso
bcdedit /set {padrão} recoveryenabled Não
O criptografador começará a encerrar os seguintes processos, incluindo aqueles associados a software de segurança, aplicativos de backup e servidores da Web e de banco de dados.
360doctor, 360se, Culture, Defwatch, GDscan, MsDtSrvr, QBCFMonitorService, QBDBMgr, QBIDPService, QBW32, RAgui, RTVscan, agntsvc, agntsvcencsvc, agntsvcisqlplussvc, anvir, anvir64, apache, axlbridge, backup, ccleaner, ccleaner64, dbe ng50, dbsnmp, encsvc, excel, far, fdhost, fdlauncher, httpd, infopath, isqlplussvc, java, kingdee, msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld-nt, mysqld-opt, mysqld, ncsvc, ocautoupds, ocomm, ocssd, onedrive, onenote, oracle, outlook, powerpnt, procexp, qbupdate, sqbcoreservice, sql, sqlagent, sqlbrowser, sqlmangr, sqlserver, sqlservr, sqlwriter, steam, supervisionar, synctime, taskkill, tasklist, tbirdconfig, thebat, thunderbird, tomcat, tomcat6, u8, ufida, visio, wdswfsafe, winword, wordpad, wuauclt, wxServer, wxServerView e xfssvccon
Ele também interromperá os seguintes serviços do Windows associados a bancos de dados, QuickBooks, software de segurança e plataformas de máquinas virtuais.
Culserver, DefWatch, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, QBCFMonitorService, QBIDPService, RTVscan, SavRoam, VMAuthdService, VMUSBArbService, VMnetDHCP, VMwareHostd, backup, ccEvtMgr, ccSetMgr, dbeng8, dbsrv12, memtas, mepocs, ms câmbio, msmdsrv, sophos, sql, sqladhlp, sqlagent, sqlbrowser, sqlservr, sqlwriter, svc$, tomcat6, veeam, vmware-converter, vmware-usbarbitator64, vss
O ransomware encerra esses aplicativos para desbloquear arquivos que podem ser abertos e impedidos de serem criptografados.
No entanto, mesmo que os arquivos estejam bloqueados, o criptografador utiliza a API Windows Restart Manager para fechar processos ou desligar serviços do Windows que podem manter um arquivo aberto e impedir a criptografia.
Ao criptografar arquivos, o criptografador ignorará todos os arquivos com as seguintes extensões:
exe, bat, bin, cmd, com, cpl, dat, dll, drv, hta, ini, lnk, lock, log, mod, msc, msi, msp, pif, prf, rdp, scr, shs, swp, sys, tema
Ele também pulará arquivos em pastas cujos nomes contenham as seguintes strings:
$recycle.bin, $windows.~bt, $windows.~ws, %PROGRAMFILES(x86)%, %PUBLIC%, %ProgramData%, %SYSTEMDRIVE%\\Arquivos de programas, %SYSTEMDRIVE%\\Users\\All Users , %SYSTEMDRIVE%\\Windows, %TMP%, %USERPROFILE%\\AppData, AppData, %AppData%, EFI, Intel, MSOCache, Mozilla, Arquivos de Programas, ProgramData, Tor Browser, Windows, WINDOWS, boot, google, perflogs , informações de volume do sistema, windows.old
Durante a criptografia, Gillespie disse ao BleepingComputer que poderia ser configurado para usar três modos:
Completo - todo o arquivo é criptografado
Parcial - Somente os primeiros X megabytes são criptografados.
Chunked - usa criptografia intermitente para criptografar blocos de dados.
No entanto, o NoEscape inclui uma opção de configuração que força o criptografador a criptografar totalmente os arquivos com as extensões de arquivo accdb, edb, mdb, mdf, mds, ndf e sql.
Os arquivos são criptografados usando Salsa20, com a chave de criptografia criptografada com uma chave privada RSA incluída. Os arquivos criptografados terão uma extensão de 10 caracteres anexada ao nome do arquivo, que é exclusivo para cada vítima, conforme ilustrado abaixo.
Arquivos criptografados por NoEscapeSource: BleepingComputer
O criptografador também configurará uma tarefa agendada chamada 'SystemUpdate' para persistência no dispositivo e para iniciar o criptografador ao fazer login no Windows.
Tarefa agendada SystemUpdate criada por NoEscapeSource: BleepingComputer
O ransomware também mudará o papel de parede do Windows para uma imagem informando às vítimas que elas podem encontrar instruções nas notas de resgate denominadas HOW_TO_RECOVER_FILES.txt.
NoEscape papel de parede da área de trabalhoFonte: BleepingComputer
As notas de resgate HOW_TO_RECOVER_FILES.txt estão localizadas em cada pasta do dispositivo e incluem informações sobre o que aconteceu com os arquivos da vítima e links para o site de negociação NoEscape Tor.
"Não somos uma empresa política e não estamos interessados em seus assuntos privados. Somos uma empresa comercial e estamos interessados apenas em dinheiro", promete a nota de resgate do NoEscape.
Nota de resgate NoEscapeFonte: BleepingComputer
No Linux, o /etc/motd também é substituído pela nota de resgate, que é exibida às vítimas quando elas fazem login.
As notas de resgate contêm um "ID pessoal" necessário para fazer login no site de pagamento Tor do agente da ameaça e acessar a página de negociação exclusiva da vítima. Esta página inclui o valor do resgate em bitcoins, um recurso de descriptografia de teste e um painel de bate-papo para negociar com os agentes da ameaça.
Site de pagamento NoEscape Tor Fonte: BleepingComputer
Como dito anteriormente, o BleepingComputer recebeu pedidos de resgate do NoEscape, variando de algumas centenas de milhares de dólares a mais de US $ 10 milhões.
Depois de pagar, as vítimas verão uma lista de descriptografadores disponíveis, que são aqueles para Windows XP, versões modernas do Windows e Linux.
Descriptografadores NoEscape disponíveis após o pagamentoFonte: BleepingComputer
Para vítimas corporativas que executam o VMware ESXi, o NoEscape fornece um script de shell que pode ser usado para restaurar /etc/motd e descriptografar arquivos usando o descriptografador do Linux.
Script VMware ESXi para descriptografar arquivosFonte: BleepingComputer
Site de vazamento de dados usado para extorquir vítimas
Como outras operações de ransomware, o NoEscape viola uma rede corporativa e se espalha lateralmente para outros dispositivos. Depois que os agentes de ameaças obtêm credenciais de administrador de domínio do Windows, eles implantam o ransomware em toda a rede.
No entanto, antes de criptografar os arquivos, os invasores já roubaram dados corporativos para serem usados como alavanca em suas tentativas de extorsão. Os agentes de ameaças avisam as vítimas de que seus dados serão divulgados publicamente ou vendidos a outros agentes de ameaças se o resgate não for pago.
No momento da redação deste artigo, NoEscape havia vazado os dados ou começado a extorquir dez vítimas em seu site de vazamento de dados, com o tamanho dos dados vazados variando de 3,7 GB para uma empresa a 111 GB para outra.
Site de vazamento de dados NoEscape Fonte: BleepingComputer
Atualmente, o ransomware está sendo analisado quanto a pontos fracos, e o BleepingComputer não aconselha o pagamento de um resgate até que seja determinado se um descriptografador gratuito pode recuperar arquivos gratuitamente.
Postar um comentário