A nova operação de ransomware Brain Cipher começou a mirar organizações ao redor do mundo, ganhando a atenção da mídia por um ataque recente ao centro de dados nacional temporário da Indonésia.
A Indonésia está expandindo seus Centros Nacionais de Dados para armazenar de forma segura servidores usados pelo governo para serviços online e hospedagem de dados.
No dia 20 de junho, um dos Centros Nacionais de Dados temporários sofreu um ciberataque que criptografou os servidores do governo e interrompeu serviços de imigração, controle de passaportes, emissão de permissões para eventos e outros serviços online.
O governo confirmou que uma nova operação de ransomware, Brain Cipher, foi responsável pelo ataque, afetando mais de 200 agências governamentais.
O Brain Cipher exigiu US$8 milhões em criptomoeda Monero para fornecer um decodificador e não vazar os dados supostamente roubados.
Os cibercriminosos declararam no chat de negociação que estão divulgando um "comunicado à imprensa" sobre a "qualidade da proteção de dados pessoais" na invasão, o que provavelmente indica que dados foram roubados.
Brain Cipher é uma nova operação de ransomware lançada no início deste mês, realizando ataques a organizações mundialmente.
Enquanto a gangue de ransomware inicialmente começou sem um site de vazamento de dados, suas notas de resgate mais recentes agora incluem um link para um, indicando que os dados ainda estão sob ataque e serão utilizados em esquemas de extorsão dupla.
Essas amostras foram criadas usando a versão vazada do construtor LockBit 3.0, que outros atores de ameaças abusaram pesadamente para lançar suas próprias operações de ransomware.
No entanto, o Brain Cipher fez algumas pequenas alterações no criptografador.
Uma dessas mudanças é que ele não apenas adiciona uma extensão ao arquivo criptografado, mas também criptografa o nome do arquivo.
O criptografador também cria notas de resgate nomeadas no formato de [extensão].README.txt.
Essas notas de resgate descrevem brevemente o que aconteceu, fazem ameaças e linkam para os sites de negociação Tor e de vazamento de dados.
Em uma nota, o ator de ameaça desviou um pouco no template e usou o nome de arquivo 'Como Restaurar Seus Arquivos.txt.'
Cada vítima tem um ID de criptografia único que é inserido no site de negociação Tor do ator de ameaça.
Como muitas outras operações recentes de ransomware, o site de negociação é bem simples, incluindo apenas um sistema de chat que a vítima pode usar para se comunicar com a gangue do ransomware.
Como outras operações de ransomware, o Brain Cipher violará uma rede corporativa e se espalhará lateralmente para outros dispositivos.
Uma vez que os atores de ameaças obtenham credenciais de administrador do domínio Windows, eles implementam o ransomware por toda a rede.
No entanto, antes de criptografar arquivos, os atores de ameaça roubarão dados corporativos para obter vantagem em suas tentativas de extorsão, avisando as vítimas que serão publicamente divulgados se um resgate não for pago.
O Brain Cipher não é diferente e recentemente lançou um novo site de vazamento de dados que atualmente não lista nenhuma vítima.
A partir de negociações, a gangue de ransomware exigiu resgates variando entre US$20.000 e US$8 milhões.
Como o criptografador é baseado no criptografador LockBit 3 vazado, ele foi exaustivamente analisado no passado, e a menos que o Brain Cipher tenha ajustado o algoritmo de criptografia, não há maneiras conhecidas de recuperar arquivos gratuitamente.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...