Novo ransomware se apresenta como um jogo ou um software para induzi-lo a baixá-lo

Uma nova forma de ransomware está infectando usuários em todo o mundo, disfarçando-se de aplicativos ou jogos e enganando as vítimas para que baixem e as iniciem em seus PCs.

O Anatova ransomware surgiu pela primeira vez em 1º de janeiro deste ano e o novo código sugere que os criminosos virtuais que o distribuem são experientes desenvolvedores de malware.

Ele exibe a capacidade de se transformar rapidamente, com o potencial de novas táticas de evasão e mecanismos de disseminação serem facilmente adicionados. O Anatovatambém vem equipado com criptografia forte, usando um par de chaves RSA para bloquear os usuários de arquivos – uma tática também usada por algumas das famílias de ransomware de maior sucesso como GandCrab e Crysis.

É por causa dessas capacidades, e como está preparado para extensão modular, que os pesquisadores de segurança da empresa de segurança McAfee –  que descobriram o ransomware  – alertaram que o Anatova é o trabalho de criminosos cibernéticos qualificados e tem o potencial de se tornar uma séria ameaça.

“O Anatova tem o potencial de se tornar muito perigoso com sua arquitetura modular, o que significa que novas funcionalidades podem ser facilmente adicionadas. O malware é escrito por autores experientes que incorporaram funcionalidades suficientes para garantir que métodos típicos para superar ransomware sejam ineficazes”, disse. Christiaan Beek, cientista chefe e engenheiro principal da McAfee.

Atualmente, o maior número de vítimas é nos EUA, com o ransomware também sendo visto na Bélgica, Alemanha, França, Reino Unido e outros países europeus.

Espalhado por redes peer-to-peer, o Anatova se disfarça de downloads gratuitos de jogos e softwares para atrair vítimas inocentes para o download de ransomware – embora os pesquisadores observem que ele poderia se espalhar usando outros vetores de ataque no futuro.

Depois que o malware tiver certeza de que está almejando um sistema legítimo, ele criará um Par de Chaves RSA usando a API de criptografia que criptografará todas as cadeias antes de gerar chaves aleatórias para criptografar o sistema de destino e executar o processo de implantação completa do ransomware.

Aqueles que forem infectados com a Anatova receberão uma nota de resgate  exigindo um pagamento em criptografia de 10 Dash , em torno de US $ 700, em troca da descriptografia dos arquivos.

Um endereço de carteira criptografada é fornecido para fazer o pagamento e o usuário é instruído a enviar um email aos invasores após fazer isso para receber uma chave de descriptografia. As vítimas são advertidas contra a tentativa de recuperar os arquivos e que o ataque não é “nada pessoal, apenas negócios”.

anatova-ransomware-note.png
Nota de ransomware Anatova.Imagem: McAfee Labs

Não se sabe ao certo quem está por trás desse novo ransomware, mas se a vítima for um membro da Comunidade de Estados Independentes – composta de ex-países soviéticos, incluindo a Rússia -, a Anatova se extinguirá.

A Anatova também se recusa a infectar sistemas na Síria, Egito, Marrocos, Iraque e Índia, em um movimento que confundiu os pesquisadores.

“É normal ver os países da CEI sendo excluídos da execução e, muitas vezes, um indicador de que os autores podem estar se originando de um desses países”, disse Alexandre Mundo, analista sênior de malware da equipe de pesquisa avançada de ameaças da McAfee.

“Neste caso, foi surpreendente ver os outros países serem mencionados. Não temos uma hipótese clara sobre por que esses países em particular são excluídos”, acrescentou.