Conheça 5 kits de ransomware como serviço (RaaS) e como são comercializados

Nos últimos meses, falamos sobre os kits de distribuição de Ransomware vendidos na Dark Web para quem quiser pagar. Esses pacotes RaaS (ransomware como serviço) permitem que pessoas com pouca habilidade técnica possam criar ataques com relativa facilidade.

A Naked Security informou sobre a existência desses pacotes individuais e, em julho, lançamos um artigo sobre uma das campanhas mais produtivas de RaasS: a Filadélfia.

Este artigo analisa o problema a partir de cinco kits RaaS disponíveis. A pesquisa foi realizada por Dorka Palotay, uma pesquisadora de ameaças baseada no escritório da SophosLabs em Budapeste, Hungria.

Medir ataques de resgate de RaaS-based é difícil, pois os desenvolvedores são bons para cobrir seus rastros. Amostras recebidas pela SophosLabs mediram desde um único dígito até centenas. A questão que os pesquisadores agora lidam é como as vendas desses kits contribuem para os níveis globais de ransomware como um todo. Conheça abaixo alguns deles:

Filadelfia
A Filadélfia é um dos casos mais sofisticados e experientes no mercado. Há muitas opções e por US $ 389 é possível obter uma licença ilimitada completa.

Os criadores do kit RaaS - Rainmakers Labs - gerenciam seus negócios da mesma forma que uma empresa de software legítimo vende seus produtos e serviços. Enquanto vende Filadélfia em mercados escondidos na Dark Web, ele também possui um vídeo de "introdução" no YouTube, explicando os detalhes do kit e como personalizar o ransomware, com uma variedade de opções de recursos.

Dentre os clientes desse pacote, está uma policial austríaca presa em abril por infectar uma empresa local. Nesse caso, o suposto hacker bloqueou os servidores da empresa e o banco de dados e exigiu US$ 400 para desbloqueá-los. A vítima se recusou, pois a empresa conseguiu recuperar os dados dos backups.

Stampado
Este foi o primeiro kit RaaS disponível da Rainmaker Labs, os criminosos começaram a vender o pacote no verão de 2016 pelo preço baixo de US$ 39.

Com base no Stampado, os desenvolvedores criaram o Filadélfia de forma muito mais sofisticada, incorporando muito da maquiagem de Stampado. O Stampado continua a ser vendido na rede, apesar da criação da Filadélfia.

Frozr Locker
Os kits FileFrozr são oferecidos pelo preço de 0,14 em bitcoins. No caso de ser infectados, os arquivos das vítimas são criptografados. Arquivos com cerca de 250 extensões diferentes serão criptografados. A página Frozr Locker observa que as pessoas devem adquirir uma licença para usar o construtor.

Os criadores também oferecem suporte on-line para os clientes solucionarem suas dúvidas e problemas.

Satan
Este serviço promete gerar uma amostra de trabalho em operação e deixa que você o baixe gratuitamente. Além disso, permite que o cliente estabeleça seu próprio preço e condições de pagamento, coleta o resgate em seu nome, fornece uma ferramenta de descriptografia para as vítimas que pagam e o pagamento do 70% do produto via Bitcoin.

Seus criadores mantêm os 30% restantes da renda, então, se a vítima pagar um resgate no valor de 1 bitcoin, o cliente recebe 0,7 em bitcoin. Esta taxa se move, dependendo do número de infecções e pagamentos que o cliente pode acumular.

Ao criar uma amostra para enviar ao mundo, os clientes preenchem um formulário para criar o esquema de pagamento. Inclui uma caixa de captcha para se certificar de que você é quem você afirma ser.

RaasBerry
A SophosLabs o detectou pela primeira vez em julho de 2017. Foi anunciado na Dark Web e, como os outros, permite ao cliente personalizar seu ataque. Os pacotes são pré-compilados com um endereço de e-mail e o endereço de e-mail fornecido pelo cliente e o desenvolvedor promete não reduzir os lucros.

Os clientes podem escolher entre cinco pacotes diferentes, desde uma assinatura de comando e controle "Plastic" de um mês, até uma assinatura de três meses "bronze", e assim por diante.

Medidas defensivas – o que fazer?

Por enquanto, o melhor caminho para empresas e indivíduos contra essa ameaça é seguir algumas medidas defensivas contra os resgates:

- Faça uma cópia de segurança regularmente e mantenha uma cópia de backup recente fora do site. Existem dezenas de maneiras, além do ransomware, pelas quais os arquivos podem desaparecer como incêndios, inundação, roubo, um laptop descartado ou mesmo uma exclusão acidental. Criptografe seu backup e você não precisará se preocupar com ele caindo em mãos erradas.

- Não habilite macros em anexos recebidos por e-mail. A Microsoft desativou a execução automática de macros por padrão há muitos anos como medida de segurança. Muitas infecções de malware dependem da ativação de macros, então não faça isso!
Tenha cuidado com anexos não solicitados. Os criminosos confiam no dilema de que você não deve abrir um documento até ter certeza de que é aquele que deseja, mas você não pode dizer se é o que deseja para abri-lo. Na dúvida, não abra.

Faça todas as correções com frequência e antecedência. O malware que não entra pelas macros, geralmente depende de erros de segurança em aplicativos populares, incluindo o Office, seu navegador, Flash e muito mais. Quanto mais cedo você corrigir, menos espaços permanecerão abertos para os criminosos explorarem. Em casos como esses, os usuários querem ter certeza de que estão usando as versões mais atualizadas de PDF e Word.

(*) Pesquisadora de ameaças da SophosLabs em Budapeste, Hungria.