Grupo de Ransomware ‘Bloody’ Ataca Novamente

Os criminosos que operam o ransomware BloodyCoin ameaçaram recentemente publicar uma grande lista de vítimas que não pagaram a taxa de resgate, assim como um banco de dados “maior e melhor” contendo informações roubadas de mais de meio milhão de vítimas.

O BloodyCoin Ransomware foi originalmente descoberto em março de 2020, mas seus operadores reabriram suas atividades em abril de 2021, usando um novo conjunto de ferramentas e técnicas.

Em um recente anúncio postado em um fórum de hacking, o BloodyCoin Ransomware Gang exigiu que uma vítima não identificada pague uma taxa de resgate de 2 BTCs (cerca de US $ 109.000 na data da escrita) dentro de 24 horas, caso contrário, suas listagens de resgate e um “banco de dados maior e melhor” seriam enviados à web.

Segundo o relatório de investigação de BloodyCoin feito pelo cibersegurança, firma de inteligência de mineração de dados Web pivô, o BloodyCoin Ransomware está sendo operado por um criminoso conhecido como “John Wick,” que também é conhecido por operar o ransomware REvil.

De acordo com o relatório, o BloodyCoin foi projetado para targeting organizações de grande porte que podem pagar grandes quantias de dinheiro para recuperar seus dados. Além disso, o BloodyCoin também é capaz de sequestrar bancos de dados SQL e arquivos.

Como a maioria dos ransomware, o BloodyCoin afeta principalmente usuários Windows e usa uma variedade de métodos para se infiltrar em redes corporativas, incluindo ataques brute-force e malwares de phishing que se infiltram nas máquinas de usuários finais, bem como vulnerabilidades de servidor de aplicativos e de navegador, que podem permitir que os invasores ganhem acesso à rede interna.

O BloodyCoin também é capaz de desativar o firewall do Windows e o Microsoft Defender para obter acesso total à rede corporativa, e em seguida, usa técnicas de ofuscação de malware e criptografia para encobertar sua presença.

Uma vez dentro, o BloodyCoin pesquisa a rede à procura de bancos de dados de banco de dados Microsoft SQL, Oracle, MySQL, DB2, MongoDB e PostgreSQL, e os criptografa, exigindo um pagamento de resgate para fornecer a chave de descriptografia.

BloodyCoin cria um arquivo de texto com instruções de resgate para cada banco de dados criptografado e deixa cópias dessas instruções em cada pasta de usuário e unidade de rede, o que faz com que seja fácil para os administradores de TI encontrá-las e tomar medidas para recuperar seus bancos de dados.

Além de bancos de dados, o BloodyCoin também criptografa arquivos pessoais do usuário, incluindo documentos, planilhas, fotos, vídeos e arquivos do Outlook.

Para exigir o pagamento da taxa de resgate, os operadores do BloodyCoin usam um endereço de e-mail fornecido pelo serviço de mensagens anônimo ProtonMail. O endereço de e-mail exibe a mesma mensagem de instruções de resgate que está sendo exibida nos bancos de dados criptografados.