Cr1ptT0r Ransomware atinge sistemas embarcados e infecta equipamentos NAS da D-Link

Um novo ransomware chamado Cr1ptT0r, construído para sistemas embarcados, é voltado para equipamentos NAS (Network Attached Storage), expostos à Internet para criptografar dados disponíveis nele.

O Cr1ptT0r foi descoberto pela primeira vez nos fóruns do BleepingComputer, onde os usuários declararam que seus dispositivos D-Link DNS-320 foram infectados pelo ransomware. A D-Link não vende mais o gabinete DNS-320, mas a página do produto indica que ainda é suportada. No entanto, a mais recente revisão de firmware foi lançada em 2016 e há muitos bugs conhecidos que podem ser utilizados para comprometer o equipamento.

A varredura do binário ELF malicioso na quinta-feira mostrou uma taxa mínima de detecção  no VirusTotal, com apenas um mecanismo antivírus identificando o Cr1ptT0r como uma ameaça. No momento da publicação, o malware é detectado por pelo menos seis mecanismos antivírus.

Firmware antigo é um alvo fácil

Os detalhes são escassos no momento, mas os membros do fórum BleepingComputer oferecem informações que sugerem que o vetor de ataque é mais vulnerável no firmware antigo. De acordo com o BleepingComputer um membro da equipe Cr1ptT0r confirmou isso, dizendo que há tantas vulnerabilidades nos modelos NAS D-Link DNS-320 que elas devem ser construídas do zero para melhorar as coisas.

Embora versões antigas do firmware do DNS-320 sejam conhecidas como vulneráveis ​​a pelo menos um bug que leva à execução remota de código, um backdoor embutido em código foi publicado em 2018 para o ShareCenter DNS ‑ 320L .

Alguns usuários afetados pelo Cr1ptT0r admitiram ter uma versão de firmware desatualizada instalada e que seu dispositivo foi exposto à Internet no momento do ataque.

O malware elimina dois arquivos de texto simples nos dispositivos infectados. Uma é a nota de resgate chamada “_FILES_ENCRYPTED_README.txt”, que dá informações à vítima sobre como obter mais detalhes sobre o que aconteceu e como chegar aos operadores de ransomware para pagar o resgate em troca da chave de descriptografia do arquivo.

A nota de resgate aponta a vítima para o serviço de decodificação Cr1ptT0r, que contém os mesmos detalhes de contato e as etapas para obter a chave de desbloqueio.

Para verificar se eles podem descriptografar os dados, os operadores oferecem para desbloquear o primeiro arquivo gratuitamente.

O outro arquivo de texto tem o nome “_cr1ptt0r_support.txt” e armazena o endereço de um site na rede Tor. Essa é uma URL de suporte que as vítimas podem fornecer se estiverem perdidas sobre o que fazer; ele habilita um shell remoto em um dispositivo infectado, se estiver on-line. O membro do grupo Cr1ptT0r adicionou que as URLs e os endereços IP não são registrados, portanto, não há relação entre os dados e a vítima.

Embora o membro do Cr1ptT0r diga que está apenas interessado em ser pago e que a espionagem não está na agenda deles, eles não podem garantir a privacidade.

Chaves de decodificação Synolocker também estão disponíveis

As chaves para desbloquear arquivos são vendidas no mercado do OpenBazaar, por 0.30672022 BTC (cerca de US $ 1.200 com o preço atual do Bitcoin). Há também uma opção para pagar menos pela descriptografia de arquivo individual. O custo para isso é de US $ 19,99 e você tem que enviar o arquivo criptografado para recebê-lo descriptografado.

Uma atualização recente da página da loja do OpenBazaar mostra que o operador do ransomware também oferece chaves de decodificação para o Synolocker  pelo mesmo preço. Essa cepa de ransomware causou sérios danos em 2014, quando infectou os servidores NAS da Synology que tinham versões desatualizadas do DiskStation Manager contendo duas vulnerabilidades. Isso foi possível apesar do fornecedor ter liberado os patches pelo menos oito meses antes.

A equipe responsável pelo Synolocker encerrou o site em 2014 e se ofereceu para vender toda a chave de decodificação que tinha 200 BTC (cerca de US $ 100.000 na época). A equipe anunciou que todos os bancos de dados seriam excluídos permanentemente ao fechar o site.

Hoje, a correspondência da chave privada que desbloqueia os dados na falta de um ID de vítima é possível por meio de força bruta, um processo que é bastante rápido neste caso, com alguns minutos para ser concluído.

Nenhuma extensão adicionada a arquivos bloqueados

O ransomware, que é um binário ELF ARM, não anexa uma extensão específica aos dados criptografados, mas o pesquisador de segurança Michael Gillespie fez uma breve análise do malware e dos arquivos que criptografa e descobriu que adicionou o marcador de fim de arquivo ” _Cr1ptT0r_ “

marcador de arquivo, h / t  @ demonslay335

Ele também diz que as cadeias de caracteres que ele notou sugerem que essa linhagem de ransomware usa a biblioteca de criptografia sodium e que usa o algoritmo “curve25519xsalsa20poly1305” para criptografia assimétrica de acordo com o Bleepingcomputer.

A chave pública (256 bits) usada para criptografar os dados está disponível em um arquivo separado chamado “cr1ptt0r_logs.txt”, que também armazena uma lista dos arquivos criptografados, e também é anexado ao final dos arquivos criptografados, pouco antes do marcador. Gillespie diz que combina com o algoritmo de criptografia que ele observou acima.

No momento, o manipulador de ransomware parece interessado em segmentar dispositivos NAS, que são populares com pequenas empresas para armazenar e compartilhar dados internamente. Esta é provavelmente a razão da grande demanda de resgate.

O Cr1ptT0r é novo no mercado, mas parece que está planejando uma longa estadia. Ele é construído para sistemas Linux, com foco em dispositivos embarcados, mas também pode ser adaptado ao Windows, de acordo com o fabricante. O jogo final é ganhar dinheiro, e de acordo com o Bleepingcomputer, alguém familiarizado com esse tipo de negócio, pode ter um retorno quase infinito sobre o investimento. O malware não tem uma presença significativa no momento, mas pode se transformar em uma ameaça desagradável.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.