🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma versão em desenvolvimento da próxima plataforma de ransomware como serviço ShinySp1d3r surgiu, oferecendo uma prévia da próxima operação de extorsão.
ShinySp1d3r é o nome de um RaaS emergente criado por agentes de ameaças associados aos grupos de extorsão ShinyHunters e Scattered Spider.
Esses agentes de ameaças tradicionalmente usam criptografadores de outras gangues de ransomware em ataques, incluindo ALPHV/BlackCat, Qilin, RansomHub e DragonForce, mas agora estão criando sua própria operação para implantar ataques próprios e de suas afiliadas.
As notícias do próximo RaaS vieram à tona pela primeira vez em um canal do Telegram, onde agentes de ameaças que se autodenominavam "Scattered Lapsus$ Hunters", dos nomes das três gangues que formam o coletivo (Scattered Spider, Lapsus$ e ShinyHunters), tentavam extorquir vítimas de roubo de dados na Salesforce e Jaguar Land Rover (JLR).
O criptografador ShinySp1d3r
BleepingComputer descobriu uma amostra do ShinySp1d3r depois que ele foi carregado no VirusTotal. Desde então, amostras adicionais foram carregadas, permitindo aos pesquisadores analisar o futuro criptografador de ransomware.
Observação: embora algumas de nossas imagens mostrem o nome como ‘Sh1nySp1d3r’, o BleepingComputer foi informado de que o RaaS está operando sob ShinySp1d3r e o nome será alterado em compilações futuras.
O criptografador é desenvolvido pelo grupo de extorsão ShinyHunters, que o está construindo do zero, em vez de utilizar uma base de código vazada anteriormente, como LockBit ou Babuk.
O criptografador de ransomware ShinySp1d3rFonte: BleepingComputer
Como resultado, o criptografador ShinySp1d3r para Windows oferece muitos recursos, alguns comuns a outros criptografadores e outros nunca vistos antes.
De acordo com a análise compartilhada com o BleepingComputer por analistas da empresa de recuperação de ransomware Coveware, esses recursos incluem:
Conectando a função EtwEventWrite para evitar que dados sejam registrados no Visualizador de Eventos do Windows.
Elimina processos que mantêm um arquivo aberto e evita que ele seja criptografado, iterando processos com um identificador para o arquivo e, em seguida, eliminando-os. O criptografador também possui uma função 'forceKillUsingRestartManager' que usa a API Restart Manager, mas ainda não está implementada.
Preenche o espaço livre em uma unidade gravando dados aleatórios em arquivos chamados 'wipe-[random].tmp'. Isso é feito para substituir quaisquer arquivos excluídos, tornando-os mais difíceis, se não impossíveis, de recuperar.
Elimina uma lista codificada de processos e serviços.
Verifica a memória disponível para calcular a quantidade ideal de dados a serem lidos por vez.
Contém a capacidade de propagação para outros dispositivos na rede local por meio de um destes métodos:
deployViaSCM - Cria um serviço para executar o malware
deployViaWMI- Executa o malware via WMI com Win32_Process.Create
tryGPODeployment - Cria um script de inicialização do GPO em scripts.ini para executar o malware
Contém recursos anti-análise e substitui o conteúdo de um buffer de memória para evitar análises forenses.
Exclui cópias de volume de sombra para evitar que sejam usadas para restaurar arquivos criptografados.
Procura hosts com compartilhamentos de rede abertos e tenta criptografá-los.
Criptografa arquivos com diferentes tamanhos e deslocamentos de blocos. Não está claro por que isso acontece ou se essas informações são armazenadas em um cabeçalho de arquivo criptografado (mais sobre isso mais tarde).
Ao criptografar arquivos, o ransomware usa o algoritmo de criptografia ChaCha20 com a chave privada protegida por RSA-2048. Cada arquivo terá sua própria extensão exclusiva, conforme mostrado na pasta abaixo, que a ShinyHunters afirmou ao BleepingComputer ser baseada em uma fórmula matemática.
Pasta criptografada pelo ransomware ShinySp1d3rFonte: BleepingComputer
Cada arquivo criptografado contém um cabeçalho de arquivo que começa com SPDR e termina com ENDS, conforme mostrado na imagem abaixo. Este cabeçalho contém informações sobre o arquivo criptografado, incluindo o nome do arquivo, a chave privada criptografada e outros metadados.
Arquivos criptografados pelo ransomware ShinySp1d3rFonte: BleepingComputer
Cada pasta no dispositivo criptografado conterá uma nota de resgate que inclui informações sobre o que aconteceu com os arquivos da vítima, como negociar o resgate e um endereço TOX para comunicações.
A nota de resgate também inclui um link para o site de vazamento de dados do Tor, mas atualmente possui um URL de espaço reservado que não é válido.
“Esta comunicação foi emitida em nome do grupo ShinySp1d3r. Destina-se exclusivamente ao pessoal interno de resposta a incidentes, liderança técnica ou consultores externos designados”, começa a nota de resgate.
"Ocorreu um evento crítico de criptografia em sua infraestrutura. Certos ativos digitais tornaram-se inacessíveis e os dados selecionados foram espelhados com segurança. O objetivo desta mensagem não é interromper, mas fornecer à sua equipe uma oportunidade confidencial para resolver a situação de forma eficiente e permanente."
Nota de resgate ShinySp1d3r
ShinySp1d3r é o nome de um RaaS emergente criado por agentes de ameaças associados aos grupos de extorsão ShinyHunters e Scattered Spider.
Esses agentes de ameaças tradicionalmente usam criptografadores de outras gangues de ransomware em ataques, incluindo ALPHV/BlackCat, Qilin, RansomHub e DragonForce, mas agora estão criando sua própria operação para implantar ataques próprios e de suas afiliadas.
As notícias do próximo RaaS vieram à tona pela primeira vez em um canal do Telegram, onde agentes de ameaças que se autodenominavam "Scattered Lapsus$ Hunters", dos nomes das três gangues que formam o coletivo (Scattered Spider, Lapsus$ e ShinyHunters), tentavam extorquir vítimas de roubo de dados na Salesforce e Jaguar Land Rover (JLR).
O criptografador ShinySp1d3r
BleepingComputer descobriu uma amostra do ShinySp1d3r depois que ele foi carregado no VirusTotal. Desde então, amostras adicionais foram carregadas, permitindo aos pesquisadores analisar o futuro criptografador de ransomware.
Observação: embora algumas de nossas imagens mostrem o nome como ‘Sh1nySp1d3r’, o BleepingComputer foi informado de que o RaaS está operando sob ShinySp1d3r e o nome será alterado em compilações futuras.
O criptografador é desenvolvido pelo grupo de extorsão ShinyHunters, que o está construindo do zero, em vez de utilizar uma base de código vazada anteriormente, como LockBit ou Babuk.
O criptografador de ransomware ShinySp1d3rFonte: BleepingComputer
Como resultado, o criptografador ShinySp1d3r para Windows oferece muitos recursos, alguns comuns a outros criptografadores e outros nunca vistos antes.
De acordo com a análise compartilhada com o BleepingComputer por analistas da empresa de recuperação de ransomware Coveware, esses recursos incluem:
Conectando a função EtwEventWrite para evitar que dados sejam registrados no Visualizador de Eventos do Windows.
Elimina processos que mantêm um arquivo aberto e evita que ele seja criptografado, iterando processos com um identificador para o arquivo e, em seguida, eliminando-os. O criptografador também possui uma função 'forceKillUsingRestartManager' que usa a API Restart Manager, mas ainda não está implementada.
Preenche o espaço livre em uma unidade gravando dados aleatórios em arquivos chamados 'wipe-[random].tmp'. Isso é feito para substituir quaisquer arquivos excluídos, tornando-os mais difíceis, se não impossíveis, de recuperar.
Elimina uma lista codificada de processos e serviços.
Verifica a memória disponível para calcular a quantidade ideal de dados a serem lidos por vez.
Contém a capacidade de propagação para outros dispositivos na rede local por meio de um destes métodos:
deployViaSCM - Cria um serviço para executar o malware
deployViaWMI- Executa o malware via WMI com Win32_Process.Create
tryGPODeployment - Cria um script de inicialização do GPO em scripts.ini para executar o malware
Contém recursos anti-análise e substitui o conteúdo de um buffer de memória para evitar análises forenses.
Exclui cópias de volume de sombra para evitar que sejam usadas para restaurar arquivos criptografados.
Procura hosts com compartilhamentos de rede abertos e tenta criptografá-los.
Criptografa arquivos com diferentes tamanhos e deslocamentos de blocos. Não está claro por que isso acontece ou se essas informações são armazenadas em um cabeçalho de arquivo criptografado (mais sobre isso mais tarde).
Ao criptografar arquivos, o ransomware usa o algoritmo de criptografia ChaCha20 com a chave privada protegida por RSA-2048. Cada arquivo terá sua própria extensão exclusiva, conforme mostrado na pasta abaixo, que a ShinyHunters afirmou ao BleepingComputer ser baseada em uma fórmula matemática.
Pasta criptografada pelo ransomware ShinySp1d3rFonte: BleepingComputer
Cada arquivo criptografado contém um cabeçalho de arquivo que começa com SPDR e termina com ENDS, conforme mostrado na imagem abaixo. Este cabeçalho contém informações sobre o arquivo criptografado, incluindo o nome do arquivo, a chave privada criptografada e outros metadados.
Arquivos criptografados pelo ransomware ShinySp1d3rFonte: BleepingComputer
Cada pasta no dispositivo criptografado conterá uma nota de resgate que inclui informações sobre o que aconteceu com os arquivos da vítima, como negociar o resgate e um endereço TOX para comunicações.
A nota de resgate também inclui um link para o site de vazamento de dados do Tor, mas atualmente possui um URL de espaço reservado que não é válido.
“Esta comunicação foi emitida em nome do grupo ShinySp1d3r. Destina-se exclusivamente ao pessoal interno de resposta a incidentes, liderança técnica ou consultores externos designados”, começa a nota de resgate.
"Ocorreu um evento crítico de criptografia em sua infraestrutura. Certos ativos digitais tornaram-se inacessíveis e os dados selecionados foram espelhados com segurança. O objetivo desta mensagem não é interromper, mas fornecer à sua equipe uma oportunidade confidencial para resolver a situação de forma eficiente e permanente."
Nota de resgate ShinySp1d3r
#samirnews #samir #news #boletimtec #conheça #shinysp1d3r: #novo #ransomware #como #serviço #criado #por #shinyhunters
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário