Vamos fazer um acordo: hackers russos dispostos a comprometer

barganha com hackers russos

Essa é a nova face do malware? De acordo com um artigo recente da Geek, em vez de se esconder atrás de um endereço de e-mail gerado aleatoriamente para transferências de bitcoin, os criadores do malware Troldesh exigiram que as vítimas os contatassem diretamente para obter detalhes de pagamento. A empresa de segurança Checkpoint fez exatamente isso – e conseguiu negociar o grupo de 250 Euros para apenas 7000 rublos.

Essa não é a primeira vez nas últimas semanas que os criadores de malware exibem um pouco de humanidade; como observado pelo Network World, o criador da variedade de ransomware “Locker” levou a PasteBin para pedir desculpas e, em seguida, descriptografou automaticamente todos os arquivos criptografados gratuitamente. Talvez os designers de malware estejam sozinhos, ou talvez o mercado esteja tão saturado de infecções que a compaixão é a única maneira de se destacar na multidão. Não importa o caso, no entanto, é um bom presságio para as vítimas. Aparentemente, até os bandidos oferecem bons negócios quando pressionados.

Vamos conversar

Tudo começou quando Natalia Kolesova, da Checkpoint, decidiu criar um PC de teste e permitir conscientemente a infecção pelo ransomware Troldesh. O malware em si não é particularmente novo ou interessante; aproveitando o sucesso do Cryptolocker e sua descendência, o Troldesh verifica no sistema infectado qualquer arquivo que possa conter dados ou imagens pessoais, como documentos financeiros, fotos e vídeos. Esses arquivos são criptografados e você recebe uma mensagem de aviso de que foi bloqueado, além de detalhes sobre como efetuar o pagamento..

No caso de Troldesh, no entanto, foi fornecido um endereço do Gmail para que as vítimas fizessem contato e solicitassem detalhes de pagamento. Posando como “Olga”, Kolesova entrou em contato com os designers da Troldesh e lhe disseram que ela deveria pagar 250 euros por descriptografia. Ela também foi instruída a anexar um único arquivo criptografado que eles descriptografariam gratuitamente para provar que estavam agindo de boa fé. Em vez de pagar, Kolesova anexou o arquivo e respondeu, alegando que não podia pagar o resgate, já que seu trabalho pagava apenas 250 euros por mês. Surpreendentemente, os atacantes não apenas descriptografaram o arquivo como prometido, mas também responderam com uma oferta melhor: por apenas 12.000 rublos, todos os arquivos seriam liberados, o que equivale a um desconto de 15% no preço original.

Mas “Olga” deu um passo adiante. Depois de esperar um pouco, ela escreveu de volta, pedindo aos hackers que liberassem seus arquivos gratuitamente. A resposta deles? Se ela concordasse em pagar 7.000 rublos – apenas 50% da demanda original, todos os seus arquivos seriam descriptografados. Obviamente, a Checkpoint não aceitou a oferta generosa e publicou as conclusões: de repente, os hackers estão dispostos a negociar.

Alterando o Marketplace

Então, por que mudar para discussões sobre destruição definitiva? Em grande parte, é porque o mercado de malware e ransomware está mudando. Os usuários estão familiarizados com a maioria dos tipos de ransomware e isso não os assusta da mesma forma que há cinco anos – muitos também estão navegando anonimamente, usando serviços de VPN seguros e sendo muito esclarecidos sobre que tipo de anexos eles abrem e arquivos baixados. Em outras palavras, simplesmente não há tanto medo. Isso levou ao desenvolvimento de novos vetores de ameaças; por exemplo, em março, a BBC noticiou o Teslacrypt, que visava especificamente jogos de vídeo, criptografando os jogos salvos dos jogadores e outros dados até que eles pagassem um resgate.

Há também o ransomware Tox, que permite que os possíveis hackers criem facilmente uma “plataforma de ransomware personalizada”. Há duas semanas, o malware chegou à Web e, uma semana depois, a plataforma de malware como serviço “explodiu”, de acordo com seu criador, que diz que não é um gênio do chapéu preto, mas apenas um estudante adolescente – e agora quer vender a plataforma porque “a situação está ficando muito quente para eu lidar”. Como observado acima, o criador do Locker seguiu o mesmo caminho: crie algo infeccioso e popular e, em seguida, saia rapidamente.

Então, onde isso deixa o ransomware? Em um estado de fluxo. Novas tensões – e ferramentas para remoção – estão sendo desenvolvidas a uma velocidade vertiginosa. O resultado é uma especialização de código, além de uma disposição dos hackers de negociar, já que as vítimas simplesmente não passam por cima e pagam mais. Se Troldesh é alguma indicação, o futuro do ransomware pode parecer mais pechinchar do que tomar reféns.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me