Mais detalhes sobre a nova família de criptografia ransomware que utiliza a rede anônima Tor e exige que os usuários paguem com Bitcoin têm surgido. O ransomware, conhecido em alguns círculos como Critoni ou CTB-Locker, foi apelidado de Onion por pesquisadores da Kaspersky Lab como seus criadores usam servidores de comando e controle escondidas na rede Tor (The Onion Router) para obscurecer sua maliciosa atividade.
Semelhante ao CryptoLocker, o ransomware que foi encontrado pela primeira vez trancar sistemas do usuário final do ano passado, as pesquisas de cebola/Onion as máquinas eram infectadas para obter uma lista de tipos de arquivos (. Doc,. Jpeg,. Zip, etc) comprime-los e criptografa-los.
Em seguida, ele exibe uma janela que informa aos usuários exatamente o que foi criptografado, e dá-lhes um prazo de 72 horas e instruções sobre como o usuário pode gastar mais do resgate em Bitcoin.
De acordo com a Kaspersky Lab Fedor Sinitsyn, analista sênior de malware com a Global Research da empresa Equipe de análise e, Onion foi detectado pela primeira vez no final de junho.
Enquanto primeiro alvo do ransomware foi usuários de língua Inglesa, devido a um GUI russo mais recente e cordas específicas no Trojan, Sinitsyn acredita que é seguro dizer que os seus criadores falam russo.
A partir desta semana o ransomware principalmente tem estado a atacar usuários na Rússia e na Ucrânia, mas os membros da Comunidade de Estados Independentes como o Cazaquistão e Belarus também foram atingidos.
Sinitsyn escreveu em SecureList na quinta-feira sobre a conexão Tor do ransomware, alegando que Onion comunica com Tor através de um código malicioso do malware, através de um segmento diferente, algo que faz com que o malware muito mais sofisticado do que outros tipos que só iria injetar código em outros processos.
Ao contrário da maioria dos cripto-malware, que usam uma combinação de AES e RSA para criptografar arquivos, fanfarrões de cebola a tendência e usa uma versão do ECDH assimétrica (Elliptic Curve Diffie-Hellman) algoritmo.
O malware comprime arquivos através da biblioteca Zlib, em seguida, criptografa-los com AES, com o SHA256 hash. A única maneira de decifrar arquivos criptografados por Onion são calculando em ECDH com uma chave mestra-privada derivada de servidor dos cibercriminosos.
O mesmo protocolo, ECDH, também protege todo o tráfego proveniente que e para o servidor dos atacantes com um conjunto separado, diferente das chaves.
Os pesquisadores afirmam que Onion é espalhado através do bot Andromeda, que primeiro o download e, em seguida, executa o programa malicioso Joleee, que por sua vez download do Onion em máquinas da vítima.
A pesquisa vem na esteira do trabalho realizado na semana passada pelo pesquisador de segurança francês Kafeine, que explicou como, em alguns casos, o ransomware estava sendo derrubado pelo spambots através do Angler exploit kit.
Onion, como seus antecessores CryptoLocker e Cryptowall, é o mais recente em uma linha dos chamados codificadores; Trojans desagradáveis que criptografam tudo, desde fotos de família dos usuários e documentos para arquivos de computador legítimos como certificados, bancos de dados e arquivos que armazenam as assinaturas digitais.
Foi amplamente assumido que CryptoLocker tinha sido neutralizado principalmente após a queda da Gameover Zeus no início deste verão. As autoridades disseram que no momento em que a mesma botnet tinha sido usado para distribuir o ransomware mas alguns pesquisadores têm contestado esta teoria e recentemente começaram a discutir o ransomware que está vivo e em evolução.
Fonte: Threatpost
Onion, como seus antecessores CryptoLocker e Cryptowall, é o mais recente em uma linha dos chamados codificadores; Trojans desagradáveis que criptografam tudo, desde fotos de família dos usuários e documentos para arquivos de computador legítimos como certificados, bancos de dados e arquivos que armazenam as assinaturas digitais.
Foi amplamente assumido que CryptoLocker tinha sido neutralizado principalmente após a queda da Gameover Zeus no início deste verão. As autoridades disseram que no momento em que a mesma botnet tinha sido usado para distribuir o ransomware mas alguns pesquisadores têm contestado esta teoria e recentemente começaram a discutir o ransomware que está vivo e em evolução.
Fonte: Threatpost