A operação de ransomware LostTrust é acreditada ser uma rebranding do MetaEncryptor, utilizando quase idênticos sites de vazamento de dados e criptografadores.
LostTrust começou a atacar organizações em março de 2023, mas não se tornou amplamente conhecido até setembro, quando começaram a utilizar um site de vazamento de dados.
Atualmente, o site de vazamento de dados lista 53 vítimas em todo o mundo, com alguns já tendo seus dados vazados por não pagarem um resgate.
Não está claro se a gangue de ransomware só alveja dispositivos Windows ou se eles utilizam um criptografador Linux também.
MetaEncryptor é uma operação de ransomware que se acredita ter sido lançada em agosto de 2022, acumulando doze vítimas em seu site de vazamento de dados até julho de 2023, depois do qual nenhuma nova vítima foi adicionada ao site.
Este mês, um novo site de vazamento de dados para a gangue 'LostTrust' foi lançado, com o pesquisador de cibersegurança Stefano Favarato rapidamente percebendo que utiliza o mesmo exato template e bio do site de vazamento de dados do MetaEncryptor.
"Somos um grupo de jovens que se identificam como especialistas em segurança de rede com pelo menos 15 anos de experiência", lê-se numa descrição tanto no site de vazamento de dados do MetaEncryptor quanto do LostTrust.
"Este blog e este trabalho são APENAS de uso comercial, além de não ser o principal.
Não temos nada a ver com política, agências de inteligência e o NSB."
BleepingComputer também descobriu que os criptografadores LostTrust [VirusTotal] e MetaEncryptor [VirusTotal] são praticamente idênticos, com algumas pequenas alterações nas notas de resgate, chaves públicas embutidas, nomes de notas de resgate e extensões de arquivos criptografados.
Além disso, o pesquisador de cibersegurança MalwareHunterTeam informou ao BleepingComputer que LostTrust e MetaEncryptor são baseados no criptografador de ransomware SFile2.
Esta relação é ainda mais respaldada por uma varredura da Intezer que mostra muita sobreposição de código entre os criptografadores LostTrust e SFile.
Devido à significativa sobreposição entre as duas operações, acredita-se que LostTrust seja uma rebranding da operação MetaEncryptor.
BleepingComputer encontrou uma amostra do criptografador LostTrust e realizou uma breve análise abaixo:
O criptografador pode ser lançado com dois argumentos opcionais de linha de comando, --onlypath (criptografar um caminho específico) e --enable-shares (criptografar compartilhamentos de rede).
Quando lançado, o criptografador abrirá um console exibindo o estado atual do processo de criptografia, conforme mostrado abaixo.
Observe a string 'METAENCRYPTING' no criptografador, indicando que se trata de um criptografador MetaEncryptor modificado.
Quando executado, LostTrust desativará e interromperá vários serviços Windows para garantir que todos os arquivos possam ser criptografados, incluindo quaisquer serviços contendo as strings Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SBS, e SharePoint.
O criptografador também desativará e encerrará serviços adicionais associados ao Microsoft Exchange.
Ao criptografar os arquivos, o criptografador acrescentará a extensão .losttrustencoded aos nomes de arquivos criptografados, conforme ilustrado abaixo.
As notas de resgate chamadas !LostTrustEncoded.txt serão criadas em cada pasta do dispositivo, com os atores de ameaça se apresentando como antigos hackers de chapéu branco.
No entanto, após serem mal pagos, decidiram mudar para o cibercrime.
"Nossa equipe tem um extenso histórico em hacking legal, chamado de whit-hat.
No entanto, os clientes normalmente consideravam as vulnerabilidades encontradas como menores e mal pagavam pelos nossos serviços", lê-se na nota de resgate do LostTrust.
"Então decidimos mudar nosso modelo de negócios.
Agora você entende o quão importante é alocar um bom orçamento para a segurança da TI."
Essas notas de resgate contêm informações sobre o que aconteceu com os arquivos da empresa e incluem um link exclusivo para o site de negociação ransomware da gangue no Tor.
O site de negociação é básico, com apenas uma função de chat permitindo que representantes da empresa negociem com os atores de ameaças.
BleepingComputer foi informado que as demandas de resgate para ataques LostTrust variam entre $100.000 a milhões.
Como outras operações de ransomware, LostTrust usa um site de vazamento de dados no Tor que é usado para extorquir empresas ameaçando vazar seus dados roubados se um resgate não for pago.
LostTrust tem 53 vítimas em seu site de vazamento de dados, com algumas empresas já tendo seus dados vazados.
Neste momento, não se sabe se o pagamento de uma demanda de resgate levará à exclusão de dados e a um descriptografador funcional.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...