O ransomware-as-a-service (RaaS) RansomHouse passou por uma atualização significativa em seu encryptor, migrando de uma técnica linear simples, de fase única, para um método muito mais complexo e multilayered.
Na prática, essas melhorias resultam em uma criptografia mais robusta, com maior velocidade e confiabilidade nos ambientes modernos de ataque, ampliando o poder de negociação dos criminosos após a criptografia dos dados.
Criado em dezembro de 2021 como uma operação de extorsão de dados, o RansomHouse evoluiu para incorporar encryptors em seus ataques e desenvolveu uma ferramenta automatizada chamada MrAgent, capaz de sequestrar múltiplos hypervisors VMware ESXi simultaneamente.
Recentemente, foi reportado que o grupo utilizou diferentes famílias de ransomware contra a gigante japonesa do comércio eletrônico Askul Corporation.
Um novo relatório da equipe Unit 42, da Palo Alto Networks, detalha o conjunto de ferramentas do RansomHouse, incluindo sua variante mais recente de encryptor, batizada de “Mario”.
A principal inovação dessa versão é a substituição da transformação dos dados em um único passo por um processo em duas fases, que utiliza duas chaves: uma key primária de 32 bytes e outra secundária de 8 bytes.
Essa abordagem aumenta a entropia da criptografia, dificultando a recuperação parcial dos dados.
Outra atualização importante é a introdução de uma nova estratégia de processamento de arquivos que utiliza tamanhos dinâmicos de blocos para arquivos a partir do limite de 8 GB, aplicados de forma intermitente.
Segundo a Unit 42, isso dificulta a análise estática devido à não linearidade do método, ao uso de cálculos matemáticos complexos para definir a ordem de processamento e à aplicação de diferentes técnicas conforme o tamanho do arquivo.
O “Mario” também apresenta uma estrutura de memória e organização de buffers aprimorada, com múltiplos buffers dedicados a cada etapa ou função do processo de criptografia, elevando ainda mais sua complexidade.
Além disso, a nova versão do encryptor exibe informações detalhadas sobre o processamento dos arquivos, ao contrário das variantes anteriores, que apenas indicavam a conclusão da tarefa.
Assim como as versões anteriores, o novo encryptor continua direcionado a arquivos de máquinas virtuais (VMs), renomeando os arquivos criptografados com a extensão “.emario” e deixando uma nota de resgate (“How To Restore Your Files.txt”) em todos os diretórios afetados.
A Unit 42 conclui que essa atualização representa um avanço preocupante no desenvolvimento de ransomware, tornando a descriptografia mais difícil e elevando a complexidade da análise estática e da engenharia reversa.
Embora o RansomHouse seja uma das operações de RaaS com maior tempo de atividade, seu volume de ataques permanece em nível intermeurio.
O contínuo investimento em ferramentas avançadas indica uma estratégia voltada mais para eficiência e evasão do que para escala.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...