A empresa de inteligência de ameaças Cyble anunciou a descoberta de três novas famílias de ransomware chamadas AXLocker, Octocrypt e Alice Ransomware.
O ransomware AXLocker criptografa os arquivos das vítimas e rouba tokens do Discord da máquina infectada. A análise do código revelou que a função startencryption() implementa a capacidade de pesquisar arquivos enumerando os diretórios disponíveis na unidade C:\. O malware visa apenas extensões de arquivo específicas e exclui uma lista de diretórios do processo de criptografia.
O ransomware AXLocker usa o algoritmo de criptografia AES para criptografar arquivos, ao contrário de outros ransomwares, ele não altera o nome ou a extensão dos arquivos criptografados.
“Depois de criptografar os arquivos da vítima, o ransomware coleta e envia informações confidenciais, como nome do computador, nome de usuário, endereço IP da máquina, UUID do sistema e tokens de discórdia para o TA.” lê a análise publicada pela Cyble.
O malware usa regex para encontrar os tokens Discord nos arquivos de armazenamento local e, em seguida, os envia para o servidor Discord junto com outras informações.
Depois que o ransomware criptografa os arquivos, ele mostra uma janela pop-up que contém uma nota de resgate com instruções para entrar em contato com os operadores. A nota de resgate não inclui o valor solicitado às vítimas para recuperar seus arquivos.
A Cyble também descobriu uma nova cepa de ransomware chamada Octocrypt, é um ransomware Golang e seus operadores estão adotando o modelo de negócios Ransomware-as-a-Service (RaaS). O malware apareceu no cenário de ameaças por volta de outubro de 2022 e é oferecido por US$ 400.
“A interface do construtor de painel da web Octocrypt permite que TAs gerem executáveis binários de ransomware inserindo opções como API URL, endereço de criptografia, quantidade de criptografia e endereço de e-mail de contato.” continua Cyble.
A terceira cepa de ransomware descoberta pela Cyble apelidada de “Alice” também é oferecida como Ransomware-as-a-Service (RaaS).
Fonte: https://securityaffairs.co/
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
