A empresa de inteligência de ameaças Cyble anunciou a descoberta de três novas famílias de ransomware chamadas AXLocker, Octocrypt e Alice Ransomware.
O ransomware AXLocker criptografa os arquivos das vítimas e rouba tokens do Discord da máquina infectada. A análise do código revelou que a função startencryption() implementa a capacidade de pesquisar arquivos enumerando os diretórios disponíveis na unidade C:\. O malware visa apenas extensões de arquivo específicas e exclui uma lista de diretórios do processo de criptografia.
O ransomware AXLocker usa o algoritmo de criptografia AES para criptografar arquivos, ao contrário de outros ransomwares, ele não altera o nome ou a extensão dos arquivos criptografados.
“Depois de criptografar os arquivos da vítima, o ransomware coleta e envia informações confidenciais, como nome do computador, nome de usuário, endereço IP da máquina, UUID do sistema e tokens de discórdia para o TA.” lê a análise publicada pela Cyble.
O malware usa regex para encontrar os tokens Discord nos arquivos de armazenamento local e, em seguida, os envia para o servidor Discord junto com outras informações.
Depois que o ransomware criptografa os arquivos, ele mostra uma janela pop-up que contém uma nota de resgate com instruções para entrar em contato com os operadores. A nota de resgate não inclui o valor solicitado às vítimas para recuperar seus arquivos.
A Cyble também descobriu uma nova cepa de ransomware chamada Octocrypt, é um ransomware Golang e seus operadores estão adotando o modelo de negócios Ransomware-as-a-Service (RaaS). O malware apareceu no cenário de ameaças por volta de outubro de 2022 e é oferecido por US$ 400.
“A interface do construtor de painel da web Octocrypt permite que TAs gerem executáveis binários de ransomware inserindo opções como API URL, endereço de criptografia, quantidade de criptografia e endereço de e-mail de contato.” continua Cyble.
A terceira cepa de ransomware descoberta pela Cyble apelidada de “Alice” também é oferecida como Ransomware-as-a-Service (RaaS).
Fonte: https://securityaffairs.co/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…
