Image default
Security

Variante do ransomware Xpan se aproveita de servidores RDP para se disseminar

Pesquisadores da Kaspersky analisaram uma nova variante do ransomware brasileiro “Xpan” Trojan (Trojan-Ransom.Win32.Xpan). O malware foi usado pelo grupo “TeamXRat”, também identificado como “CorporacaoXRat” e tinha como alvo empresas e hospitais. A assinatura do ransomware é a extensão “.___xratteamLucked,”, que é anexada aos arquivos criptografados.

O Xpan não é primeiro ransomware criado no país (pois o TorLocker e HiddenTear foram vistos em ataques locais), mas contém melhorias no código que revelam o aumento no interesse por este tipo de malware. O malware realiza ataques direcionados via protocolo RDP (Remote Desktop Protocol) para infectar sistemas, diz a Kaspersky.

Quando executado, o ransomware verifica o idioma padrão do sistema, define uma chave de registro, obtém o nome do computador e exclui todas as configurações de proxy definidas no sistema. Durante a execução, o Xpan registra todas as ações em console, mas elimina-as quando o processo é concluído. Em seguida, informa as vítimas de que seus arquivos foram criptografados utilizando uma criptografia RSA de 2048 bits.

Ao contrário do ransomware anterior usado pelo grupo TeamXRat, o Xpan não utiliza persistência, pois passou a utilizar a cifra AES de 256 bits e não mais a cifra TEA (Tiny Encryption Algorithm). Além disso, criptografa todos os arquivos no sistema, exceto aqueles com extensão .exe e .dll, e determinadas strings que encontrar pelo caminho. O malware, diz a Kaspersky, faz o uso de algoritmos criptográficos fornecidos pela interface de programação MS CryptoAPI.

Os pesquisadores encontraram duas versões do trojan, com base em suas extensões e nas diferentes técnicas de criptografia. A primeira versão usa a extensão “___xratteamLucked” (3 símbolos ‘_’) e gera uma única senha de 255 caracteres para todos os arquivos, enquanto o segundo usa a extensão “____xratteamLucked” (4 símbolos ‘_’) mas que também gera uma senha de 255 caracteres para cada arquivo infectado.

Antes de criptografar, o ransomware tenta interromper os serviços de banco de dados mais populares, e se autoexclui quando o processo é concluído. Após esse processo, modifica o registro para que, quando a vítima clicar duas vezes sob um arquivo com a extensão “.____ xratteamLucked”, o temido aviso de resgaste seja exibido através do Msg.exe (um utilitário padrão do Windows).

Os ataques do TeamXRat são realizados manualmente via técnicas de força bruta no serviço RDP de servidores Windows, para em seguida instalar o ransomware neles. Após ganhar acesso a um servidor, os atacantes desativam o antivírus instalado e começam a instalar o seu malware.

“Disponibilizar servidores de desktop remoto diretamente na Internet não é recomendado e ataques de força-bruta tendo como alvo esses servidores, já não são novidade. Mas sem os controles adequados para prevenir, ou pelo menos detectar e responder às maquinas comprometidas, ataques de força-bruta via RDP ainda são um bom negócio para cibercriminosos desfrutarem”, explicam os pesquisadores da Kaspersky.

As vulnerabilidades do protocolo RDP são exploradas para a execução remota de código malicioso quando um atacante envia uma sequência de pacotes criada especialmente para um sistema alvo. Os servidores que não possuem a devida correção, são extremamente valiosos para os atacantes, conforme mostram os relatórios sobre o xDedic, mercado negro de servidores.

Fonte: da imagem: http://securityaffairs.co
Fonte: da imagem: http://securityaffairs.co

“Não é de se surpreender, que o Brasil é o país que mais possui servidores comprometidos sendo ofertados no mercado negro para qualquer cibercriminoso”, observa a Kaspersky.

Fonte imagem: Softpedia.
Fonte imagem: Softpedia.

A boa notícia quando se trata do ransomware Xpan é que a Kaspersky conseguiu quebrar a sua criptografia, permitindo de forma gratuíta descriptografar os arquivos infectados. Os pesquisadores da Kaspersky até ajudaram um hospital no país a se recuperar de um ataque do Xpan.

Mas os pesquisadores esperam por novas variantes da ameaça vindas do mesmo autor.

Fontes:

http://www.securityweek.com/brazilian-hackers-using-rdp-spread-xpan-ransomware

http://news.softpedia.com/news/brazilian-hospitals-infected-with-ransomware-after-rdp-brute-force-attacks-508807.shtml

The xDedic marketplace is selling over 70,000 hacked Servers

Posts similares

Empresa de hacking de telefones sofre ataque

O Analista

A NSA e seu controverso algoritmo de criptografia no kernel do Linux

O Analista

Hacking em massa é executado contra usuários do TeamViewer, e não sabemos como

O Analista