Uma nova variante do ransomware StopCrypt (também conhecido como STOP) foi detectada em estado selvagem, empregando um processo de execução em várias etapas que envolve shellcodes para evadir ferramentas de segurança.
StopCrypt, também conhecido como STOP Djvu, é o ransomware mais amplamente distribuído que existe, do qual você ouve raramente falar.
Enquanto você frequentemente ouve falar sobre o quanto algumas operações de ransomware são grandes, tais como LockBit, BlackCat e Clop, raramente se houve pesquisadores de segurança discutindo sobre o STOP.
Isso acontece porque esta operação de ransomware geralmente não tem como alvo empresas, mas sim consumidores, com a esperança de gerar dezenas de milhares de pequenos pagamentos de resgate de $400 a $1.000, em vez de uma única demanda de vários milhões de dólares.
O ransomware é comumente distribuído através de malvertising e sites obscuros que distribuem pacotes de adware disfarçados de software livre, cheats de jogos e cracks de software.
No entanto, quando esses programas são instalados, os usuários se tornam infectados com uma variedade de malwares, incluindo trojans ladrões de senhas e ransomware STOP.
Isso leva os usuários infectados a buscaram ajuda desesperadamente com pesquisadores de segurança, especialistas em ransomware e em nosso fórum sobre ransomware STOP de 807 páginas.
Desde o seu lançamento original em 2018, o criptografador de ransomware não mudou muito, com novas versões sendo lançadas principalmente para corrigir problemas críticos.
Por essa razão, quando uma nova versão do STOP é lançada, é importante estar atento devido ao grande número de pessoas que será afetado por ela.
A equipe de pesquisa de ameaças da SonicWall descobriu uma nova variante do ransomware STOP (que eles chamam de StopCrypt) na natureza que agora utiliza um mecanismo de execução em várias etapas.
Inicialmente, o malware carrega um arquivo DLL aparentemente não relacionado (msim32.dll), possivelmente como distração.
Ele também implementa uma série de loops de atraso longo que podem ajudar a burlar medidas de segurança relacionadas ao tempo.
Em seguida, usa chamadas de API dinamicamente construídas na pilha para alocar o espaço de memória necessário para permissões de leitura/gravação e execução, tornando a detecção mais difícil.
StopCrypt usa chamadas de API para várias operações, inclusive para tirar instantâneos de processos em execução para entender o ambiente em que está operando.
A próxima etapa envolve a evacuação de processos, onde StopCrypt sequestra processos legítimos e injeta seu payload para execução discreta na memória.
Isso é feito através de uma série de chamadas de API cuidadosamente orquestradas que manipulam a memória do processo e o fluxo de controle.
Uma vez que o payload final é executado, uma série de ações acontece para assegurar a persistência do ransomware, modificar as listas de controle de acesso (ACLs) para negar aos usuários a permissão para deletar arquivos e diretórios de malware importantes, e uma tarefa programada é criada para executar o payload a cada cinco minutos.
Arquivos são criptografados e uma extensão ".msjd" é acrescentada aos seus novos nomes.
No entanto, é importante notar que existem centenas de extensões relacionadas ao ransomware STOP, pois eles as mudam com frequência.
Finalmente, uma nota de resgate chamada "_readme.txt" é criada em cada pasta impactada, fornecendo instruções às vítimas sobre como pagar o resgate pela recuperação de dados.
A evolução do StopCrypt em uma ameaça mais furtiva e poderosa reforça uma tendência preocupante no cibercrime.
Embora as demandas financeiras do StopCrypt não sejam altas e seus operadores não realizem roubo de dados, os danos que ele pode causar a muitas pessoas podem ser significativos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...