Um novo levantamento da Cisco Talos – braço de inteligência da Cisco em nível global – aponta para a descoberta de uma variante do ransomware MedusaLocker. Conhecido como “BabyLockerKZ”, esse malware foi criado com motivações financeiras e registrou um aumento significativo no número de ataques na Europa, entre final de 2022 e início de 2023. Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou, e os cibercriminosos mudaram seu foco para países da América Latina, como México, Brasil, Argentina e Colômbia.

• Siga o tecflow no Google News!
• Participe dos nossos canais no Twitter,Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link.

O levantamento da Cisco Talos aponta que os ataques mantiveram um volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.

Ainda segundo a Cisco Talos, esse malware tem comprometido muitas corporações de forma consistente. Geralmente foram mais de 100 vítimas por mês, desde 2022. Para o braço de inteligência da Cisco, isso revela a natureza profissional e altamente agressiva dos ataques.

Característica do malware

Segundo o estudo, uma característica dessa variante é o fato de ser compilada com um caminho PDB que tem a presença da palavra “paid_memes”. O “BabyLockerKZ” tem diferenças significativas se comparadas à versão clássica do “MedusaLocker”.

Entre elas, estão as modificações na execução automática e a utilização de chaves adicionais armazenadas no registro. Esse fator, em especial, reforça o profissionalismo e a precisão dos cibercriminosos em seus ataques.

Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos com esse malware é puramente financeiro. Para isso, esse invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins). Neste último caso, trata-se de um conjunto criado pelo mesmo desenvolvedor do “BabyLockerKZ” para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas.

Pasta de usuários usadas nos ataques

O estudo da Cisco Talos destaca ainda que o ataque responsável pela implantação desse malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário “Music”, “Pictures” ou “Documents” de sistemas comprometidos para armazenar os mecanismos de ataque.

A seguir, os caminhos adotados:

– c:usuários\músicascanner_de_portas_avançado_2.5.3869.exe
– c:usuários\músicahrswordhrsword install.bat
– c:usuários\musickillavbuild.004disabler.exe
– c:/usuários//music/checker/checker(222).exe

– c:/users//music/checker/invoke-thehash.ps1
– c:/usuários//music/checker/checker (222).exe
– c:/users//music/checker/invoke-smbexec.ps1
– c:/users//music/checker/invoke-wmiexec.ps1
– c:/users//appdata/roaming/ntsystem/ntlhost.exe.exe
– c:/users//appdata/local/temp/advanced port scanner 2/advanced_port_scanner.exe
– c:/users//appdata/local/temp/is-juad3.tmp/advanced_port_scanner_2.5.3869.tmp

Conheça mais sobre esse malware o estudo completo realizado pela Cisco Talos neste link (clique aqui).

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.