Acredita-se que a operação de ransomware LostTrust seja uma reformulação do MetaEncryptor, utilizando sites e criptografadores de vazamento de dados quase idênticos.
A LostTrust começou a atacar organizações em março de 2023, mas só se tornou amplamente conhecida em setembro, quando começou a utilizar um site de vazamento de dados.
Atualmente, o site de vazamento de dados lista 53 vítimas em todo o mundo, sendo que algumas já tiveram seus dados vazados por não pagarem resgate.
Não está claro se a gangue de ransomware tem como alvo apenas dispositivos Windows ou se também utiliza um criptografador Linux.
Uma reformulação da marca MetaEncryptor
MetaEncryptor é uma operação de ransomware que se acredita ter sido lançada em agosto de 2022, acumulando doze vítimas em seu site de vazamento de dados até julho de 2023, após o qual nenhuma nova vítima foi adicionada ao site.
Este mês, um novo site de vazamento de dados para a gangue ‘LostTrust’ foi lançado, com o pesquisador de segurança cibernética Stefano Favarato percebendo rapidamente que ele utiliza exatamente o mesmo modelo e biografia do site de vazamento de dados do MetaEncryptor.
“Somos um grupo de jovens que se identificam como especialistas na área de segurança de redes com pelo menos 15 anos de experiência”, diz uma descrição nos sites de vazamento de dados MetaEncryptor e LostTrust.
“Este blog e este trabalho são APENAS de uso comercial, além de não serem os principais. Não temos nada a ver com política, agências de inteligência e NSB.”
O BleepingComputer também descobriu que os criptografadores LostTrust [VirusTotal] e MetaEncryptor [VirusTotal] são virtualmente idênticos, com algumas pequenas alterações nas notas de resgate, chaves públicas incorporadas, nomes de notas de resgate e extensões de arquivos criptografados.
Além disso, o pesquisador de segurança cibernética MalwareHunterTeam disse ao BleepingComputer que LostTrust e MetaEncryptor são baseados no criptografador de ransomware SFile2. Essa relação é ainda apoiada por uma varredura Intezer que mostra muita sobreposição de código entre os criptografadores LostTrust e SFile.
Devido à sobreposição significativa entre as duas operações, acredita-se que LostTrust seja uma reformulação da operação MetaEncryptor.
O criptografador LostTrust
BleepingComputer encontrou uma amostra do criptografador LostTrust e realizou uma breve análise abaixo.
O criptografador pode ser iniciado com dois argumentos de linha de comando opcionais, --onlypath (criptografar um caminho específico) e --enable-shares (criptografar compartilhamentos de rede).
Quando iniciado, o criptografador abrirá um console exibindo o estado atual do processo de criptografia, conforme mostrado abaixo.
O criptografador LostTrustFonte:BleepingComputer
Observe a string 'METAENCRYPTING' no criptografador, indicando que é um criptografador MetaEncryptor modificado.
Quando executado, LostTrust desabilitará e interromperá vários serviços do Windows para garantir que todos os arquivos possam ser criptografados, incluindo quaisquer serviços que contenham as strings Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SBS e SharePoint.
O criptografador também desabilitará e interromperá serviços adicionais associados ao Microsoft Exchange.
Ao criptografar arquivos, o criptografador anexará a extensão .losttrustencoded aos nomes dos arquivos criptografados, conforme ilustrado abaixo.
Arquivos criptografados por LostTrustSource: BleepingComputer
Notas de resgate chamadas !LostTrustEncoded.txt serão criadas em todas as pastas do dispositivo, com os agentes da ameaça se apresentando como hackers de chapéu branco anteriores. No entanto, depois de serem mal pagos, decidiram migrar para o crime cibernético.
“Nossa equipe tem uma vasta experiência em hackers legais e de chapéu branco. No entanto, os clientes geralmente consideram as vulnerabilidades encontradas como menores e mal pagas por nossos serviços”, diz a nota de resgate da LostTrust.
"Então decidimos mudar nosso modelo de negócios. Agora você entende como é importante alocar um bom orçamento para segurança de TI."
Nota de resgate LostTrustFonte: BleepingComputer
Essas notas de resgate contêm informações sobre o que aconteceu com os arquivos da empresa e incluem um link exclusivo para o site de negociação Tor da gangue de ransomware.
O site de negociação é básico, com apenas um recurso de bate-papo que permite aos representantes da empresa negociar com os atores da ameaça.
Site de negociação LostTrust TorFonte: BleepingComputer
O BleepingComputer foi informado de que os pedidos de resgate para ataques LostTrust variam de US$ 100.000 a milhões.
Site de vazamento de dados usado para extorquir vítimas
Como outras operações de ransomware, o LostTrust utiliza um site de violação de dados Tor que é usado para extorquir empresas, ameaçando vazar seus dados roubados se o resgate não for pago.
LostTrust tem 53 vítimas em seu site de vazamento de dados, sendo que algumas empresas já tiveram seus dados vazados.
Site de vazamento de dados LostTrustFonte: BleepingComputer
No momento, não se sabe se o pagamento de um pedido de resgate levará à exclusão dos dados e de um descriptografador funcional.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/meet-losttrust-a-likely-rebrand-of-the-metaencryptor-ransomware-gang/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
Grupo No Whatsapp,
App Boletim Tec 2.0 e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #conheça #losttrust #– #uma #provável #reformulação #da #gangue #de #ransomware #metaencryptor
Postar um comentário