Octocrypt, Alice e AXLocker Ransomware, são as novas ameaças à solta

A empresa de inteligência de ameaças Cyble anunciou a descoberta de três novas famílias de ransomware chamadas AXLocker, Octocrypt e Alice Ransomware.

O ransomware AXLocker criptografa os arquivos das vítimas e rouba tokens do Discord da máquina infectada. A análise do código revelou que a  função startencryption()  implementa a capacidade de pesquisar arquivos enumerando os diretórios disponíveis na unidade C:\. O malware visa apenas extensões de arquivo específicas e exclui uma lista de diretórios do processo de criptografia.

O ransomware AXLocker usa o algoritmo de criptografia AES para criptografar arquivos, ao contrário de outros ransomwares, ele não altera o nome ou a extensão dos arquivos criptografados.

“Depois de criptografar os arquivos da vítima, o ransomware coleta e envia informações confidenciais, como nome do computador, nome de usuário, endereço IP da máquina, UUID do sistema e tokens de discórdia para o TA.” lê a análise publicada pela Cyble.

O malware usa  regex  para encontrar os tokens Discord nos arquivos de armazenamento local e, em seguida, os envia para o servidor Discord junto com outras informações.

Depois que o ransomware criptografa os arquivos, ele mostra uma janela pop-up que contém uma nota de resgate com instruções para entrar em contato com os operadores. A nota de resgate não inclui o valor solicitado às vítimas para recuperar seus arquivos.

A Cyble também descobriu uma nova cepa de ransomware chamada Octocrypt, é um ransomware Golang e seus operadores estão adotando o modelo de negócios Ransomware-as-a-Service (RaaS). O malware apareceu no cenário de ameaças por volta de outubro de 2022 e é oferecido por US$ 400.

“A interface do construtor de painel da web Octocrypt permite que TAs gerem executáveis ​​binários de ransomware inserindo opções como API URL, endereço de criptografia, quantidade de criptografia e endereço de e-mail de contato.” continua Cyble.

A terceira cepa de ransomware descoberta pela Cyble apelidada de “Alice” também é oferecida como Ransomware-as-a-Service (RaaS).

Fonte: https://securityaffairs.co/