book_icon

Ransomware Instabot exige US$ 980 em Bitcoins para recuperar a informação

Equipe de investigação de ameaças do SonicWall Capture Labs identificou um novo ransomware, conhecido como Instabot. Quem pagar o resgate em até 72 horas após o ataque consegue um desconto de 50% sobre o valor total
Ransomware Instabot exige US$ 980 em Bitcoins para recuperar a informação

A SonicWall, empresa de segurança da informação que protege mais de 1 milhão de redes em todo o mundo, revela que a equipe de investigação de ameaças do SonicWall Capture Labs encontrou um novo ransomware, conhecido como Instabot. Trata-se de um tipo de ataque por meio de software malicioso que infecta o computador do usuário e exibe mensagens que exigem o pagamento de um resgate para que o sistema volte a funcionar. O objetivo dos cibercriminosos é receber dinheiro e, neste caso, segundo as evidências da SonicWall, o que está sendo solicitado é o pagamento de Bitcoin.
A ameaça está se estendendo ativamente e o servidor web utilizado pelos operadores está, atualmente, online.
Os cibercriminosos cobram US$ 980 em Bitcoin para a recuperação de arquivos, mas também oferecem um desconto de 50% se o pagamento se realizar dentro de 72 horas.
Segundo o relatório anual de ciberameaças da SonicWall, os ataques direcionados de ransomware paralisam as vítimas. Embora o volume total de ransomware (187,9 milhões) tenha diminuído 9% durante o ano, os ataques altamente seletivos deixaram paralisados muitos governos federais, estaduais e municipais, eliminando os serviços de comunicações por e-mail, sites, linhas telefônicas e também escritórios inteiros.
Ciclo de infecção:
O malware usa o seguinte ícone:

Faz a seguinte solicitação de DNS:
akbz.top
Instabot informa a infecção a um servidor remoto. Isso inclui a chave pública:

São feitas solicitações a um servidor remoto para fazer download de malware adicional. Nem todas as solicitações tiveram sucesso:

Os seguintes arquivos são agregados ao sistema de arquivos:
*% APPDATA% \ cef8b3be-77de-4842-b1ba-45fe8e197331 \ {nombre de archivo original} .exe
*% APPDATA% \ 456888e5-7040-4fd5-8f4b-c39f07380640 \ updatewin1.exe [Detectado como: GAV: Instabot.RSM_7 (Troyano)]
*% APPDATA% \ 456888e5-7040-4fd5-8f4b-c39f07380640 \ updatewin2.exe [Detectado como: GAV: Instabot.RSM_8 (Troyano)]
*_readme.txt (copiado en directorios donde se cifraron los archivos)
Os arquivos criptografados recebem uma extensão. sqpc.
_readme.txt contém a mensagem de resgate mostrada a seguir. Exige USD 490 para a recuperação de arquivos após um desconto de 50%:

A equipe de investigação de ameaças do SonicWall Capture Labs se comunicou com os operadores por e-mail e recebeu algumas instruções, que são as mesmas recebidas pelos usuários vítimas para continuar ameaçando-os.
Na mensagem de e-mail é fornecido um link para um vídeo que mostra como usar a ferramenta de descriptografia.
Eis algumas capturas de tela do vídeo:


SonicWall Capture Labs fornece proteção contra essa ameaça por meio das seguintes assinaturas:
GAV: Instabot.RSM_7 (trojan)
GAV: Instabot.RSM_8 (trojan)
Essa ameaça também é detectada pelo SonicWALL Capture ATP com RTDMI e as soluções de end point como Capture Client.
As empresas podem detectar em tempo real o ransomware com serviços avançados de segurança de múltiplas camadas, incluindo segurança de terminais, serviços de firewall de última geração, segurança de e-mail e acesso remoto seguro. Com a plataforma da SonicWall, as empresas podem deter as variantes de ransomware novas, conhecidas e atualizadas, e fazer voltar os terminais ao seu estado inicial por meio da opção de rollout.
A SonicWall oferece o modelo Boundless Cybersecurity, algo essencial na era da computação hiper distribuída. Resolvemos os desafios de segurança dos negócios digitais, protegendo PMEs, corporações e governos, quaisquer que sejam seus pontos de exposição a ataques. Ao revelar ameaças ainda desconhecidas, fornecendo visibilidade em tempo real ao gestor de segurança, a SonicWall possibilita a contínua inovação da economia. A inteligência SonicWall interrompe os ataques cibernéticos mais evasivos.
Serviço
www.sonicwall.com/pt-br

Comentários

Os comentários estão fechados nesse post.
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.