Cisco Talos alerta para malware que ataca por motivaçõesfinanceiras no Brasil e outros países da América Latina

Um novo levantamento da Cisco Talos – braço de inteligência da Cisco em nível global – aponta para a descoberta de uma variante do ransomware MedusaLocker. Conhecido como “BabyLockerKZ”, esse malware foi criado com motivações financeiras e registrou um aumento significativo no número de ataques na Europa, entre final de 2022 e início de 2023. Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou, e os cibercriminosos mudaram seu foco para países da América Latina, como México, Brasil, Argentina e Colômbia.

O levantamento da Cisco Talos aponta que os ataques mantiveram um volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.

Ainda segundo a Cisco Talos, esse malware tem comprometido muitas corporações de forma consistente. Geralmente foram mais de 100 vítimas por mês, desde 2022. Para o braço de inteligência da Cisco, isso revela a natureza profissional e altamente agressiva dos ataques.

Característica do malware


Segundo o estudo, uma característica dessa variante é o fato de ser compilada com um caminho PDB que tem a presença da palavra “paid_memes”. O “BabyLockerKZ” tem diferenças significativas se comparadas à versão clássica do “MedusaLocker”.

Entre elas, estão as modificações na execução automática e a utilização de chaves adicionais armazenadas no registro. Esse fator, em especial, reforça o profissionalismo e a precisão dos cibercriminosos em seus ataques.

Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos com esse malware é puramente financeiro. Para isso, esse invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins). Neste último caso, trata-se de um conjunto criado pelo mesmo desenvolvedor do “BabyLockerKZ” para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas.

Pasta de usuários usadas nos ataques


O estudo da Cisco Talos destaca ainda que o ataque responsável pela implantação desse malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário “Music”, “Pictures” ou “Documents” de sistemas comprometidos para armazenar os mecanismos de ataque.

A seguir, os caminhos adotados:

– c:\usuários\\música\scanner_de_portas_avançado_2.5.3869.exe
– c:\usuários\\música\hrsword\hrsword install.bat
– c:\usuários\\music\killav\build.004\disabler.exe
– c:/usuários//music/checker/checker(222).exe

– c:/users//music/checker/invoke-thehash.ps1
– c:/usuários//music/checker/checker (222).exe
– c:/users//music/checker/invoke-smbexec.ps1
– c:/users//music/checker/invoke-wmiexec.ps1
– c:/users//appdata/roaming/ntsystem/ntlhost.exe.exe
– c:/users//appdata/local/temp/advanced port scanner 2/advanced_port_scanner.exe
– c:/users//appdata/local/temp/is-juad3.tmp/advanced_port_scanner_2.5.3869.tmp

Conheça mais sobre esse malware o estudo completo realizado pela Cisco Talos neste link (clique aqui).

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.

Redação tecflow

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.

Mais acessados

Dicas e Tutoriais

SmartPhones & Tablets

Mercado & Tecnologia

Consoles e Games

Ciência & Espaço

Eventos

Quem Somos

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.

Siga Tecflow em:

Parceiro Autthentic

error: Content is protected !!