O resumo da ameaça
O PyLocky representa uma nova ameaça de alto impacto, essa variante de ransomware foi identificada no final de julho de 2018 e dado o volume de infecções, em sua maioria na europa, foi possível identificar que o número de infecções aumentou consideravelmente durante o mês de agosto. Os meios são os mesmos, o malware geralmente é distribuído por meio de e-mails fraudulentos que alegam estar vinculados a uma fatura de pagamento falsa e possui recursos avançados de detecção e anti-sandbox ou através de links infectados em sites. Notavelmente, dados de telemetria de infecção mostram que o PyLocky visava principalmente países como França e Alemanha, mas as notas de resgate também estão em italiano e também em coreano.
Uma data cabalistica: Em 11 de setembro de 2018, foi detectado o vazamento do código-fonte do PyLocky no Pastebin.
Alertamos que o impacto do PyLocky pode ter graves consequências, já que até agora, o incidente não recebeu atenção da mídia, e isso pode causar surpresa e espanto. No entanto, havia sido visualizado por mais de 2.500 usuários. Portanto, nossa avaliação é que esse vazamento foi proposital e isso pode gerar novas cepas dessa variante do PyLocky. Isso certamente causará um aumento nas campanhas de spam que distribuem essa cepa de malware em futuro próximo.
O PyLocky Ransomware
O PyLocky é uma nova cepa de ransomware escrita em Python e aparentemente tenta explorar a notoriedade do infame Locky ransomware – uma das famílias de ransomware mais apocalípticas em 2017. Possivelmente empregado para aparecer como uma ameaça mais substancial para as vítimas, apesar de não ter qualquer relação com o ransomware Locky original. Segundo as notícias, o malware apareceu pela primeira vez em estado selvagem no final de julho de 2018, enquanto as campanhas subsequentes de distribuição eram voltadas principalmente para empresas francesas e alemãs por meio de e-mails com armas em agosto. Além disso, a nota de resgate é escrita em quatro idiomas diferentes – francês, inglês, italiano e coreano – possivelmente indicando que as operadoras de malware planejam segmentar mais geografias em campanhas futuras.
Figura 1: Telemetria para infecções por PyLocky registradas em 24 de agosto. Fonte: TrendMicro
O vetor de ataque – modus operandi
O malware é normalmente distribuído através de emails com spam, pretendendo ser mensagens de fatura de pagamento (um método de engenharia social predominante usado em inúmeras campanhas malspam) e seduzindo a vítima a clicar em um link de URL malicioso que, por sua vez, aciona o processo de infecção.
Figura 2: Exemplo de um email com armas segmentado para usuários franceses no início de agosto de 2018
Notavelmente, a URL maliciosa leva a um arquivo .ZIP contendo os componentes do malware e o próprio executável. Após a execução, o malware criptografa uma ampla lista de mais de 150 extensões de arquivo codificadas, aproveitando a codificação 3DES (Triple DES) da biblioteca PyCrypto, estabelecendo assim a comunicação com seu servidor C&C.
As capacidades de anti-detecção e anti-sandbox
O PyLocky implementa um recurso avançado de anti-detecção , usando uma combinação do Inno Setup Installer e PyInstaller, dois programas legítimos de código aberto. A técnica dificulta a análise estática de malware, bem como o software antivírus baseado em aprendizado de máquina. Notavelmente, outras cepas de ransomware, como Cerber , implementaram técnicas análogas no passado. Além disso, o malware também possui um recurso anti-sandbox, permanecendo inativo por mais de 11,5 dias, caso detecte que o tamanho total da memória visível do sistema é menor que 4 GB, um sintoma de estar em um ambiente seguro.
O código-fonte PyLocky vazou no Pastebin
Em 11 de setembro de 2018 (15:43:21 GMT +3), por meio da Plataforma Avançada de Alertas da Darkweb, foi possível detectar o vazamento do código-fonte PyLocky na plataforma de compartilhamento de texto Pastebin. O código foi publicado por um ator não identificado, que acessou a plataforma como “Guest” e foi publicado sem título. O código consiste em 226 linhas escritas em Python, e foi visto por 3.000 espectadores, a partir do momento da escrita.
Figura 3: Imagem do código-fonte do ransomware do PyLocky que vazou no Pastebin.
É importante ressaltar que não foi detectada nenhuma conversa paralela em relação a esse vazamento no OSINT ou em outras fontes da Dark Web que são monitoradas, além de uma discussão isolada no Reddit, em que um link para a pasta original foi compartilhado em um subreddit de hackers. No entanto, como casos antigos análogos sugerem (por exemplo, ver o vazamento do código-fonte do botnet Mirai no final de 2016, que levou a ataques DDoS devastadores), a introdução do código-fonte de malware na esfera pública geralmente leva à adoção generalizada do código, ou partes dele, por uma variedade de agentes de ameaça. Isso, consequentemente, permite que atores menos qualificados, como os chamados “scripts kiddies”, criem ataques cibernéticos com relativa facilidade, levando a um aumento significativo de campanhas e infecções por spam.
A avaliação de ameaça
O recente vazamento do código-fonte, a visibilidade significativa que a pasta acumulou e a ausência de um decodificador disponível para o PyLocky neste momento, avaliamos com confiança média que observaremos uma proliferação dessa linhagem de ransomware no futuro, tornando-a uma ameaça potencial para empresas e indivíduos. Dessa forma, é importante salientarmos como é importante receber relatórios de inteligência sobre ataques cibernéticos como esse citado acima e também referente a possíveis vazamentos provenientes dos domínios da sua empresa, executivos e qualquer ameaça para o seu negócio.
Para proteger sua empresa de ataques zero day e ransomware, fale conosco.
