O site BleepingComputer afirma que um novo Ransomware atinge sistemas embarcados, e mais o Cr1ptT0r infecta equipamentos NAS da D-Link. Confira os detalhes dessa ameaça.
- Como instalar o poderoso utilitário de rede Nmap no Linux
- Como instalar o módulo de segurança do Banco Itaú no Linux
- Como instalar o app de backup Kopia no Linux via AppImage
Um novo ransomware chamado Cr1ptT0r, construído para sistemas embarcados, é voltado para equipamentos NAS (Network Attached Storage), expostos à Internet para criptografar dados disponíveis nele.
Ransomware Cr1ptT0r infecta equipamentos NAS da D-Link
O Cr1ptT0r foi descoberto pela primeira vez nos fóruns do BleepingComputer, onde os usuários declararam que seus dispositivos D-Link DNS-320 foram infectados pelo ransomware.
A D-Link não vende mais o gabinete DNS-320, mas a página do produto indica que ainda ele é suportado. No entanto, a mais recente revisão de firmware foi lançada em 2016, e infelizmente, há muitos bugs conhecidos que podem ser utilizados para comprometer o equipamento.
A varredura do binário ELF malicioso mostrou uma taxa mínima de detecção no VirusTotal, com apenas um mecanismo antivírus identificando o Cr1ptT0r como uma ameaça. No momento dessa publicação, o malware já é detectado por pelo menos seis mecanismos antivírus.
Os detalhes são escassos no momento, mas os membros do fórum BleepingComputer oferecem informações que sugerem que o vetor de ataque é mais vulnerável no firmware antigo.
Um membro da equipe Cr1ptT0r confirmou isso para o site BleepingComputer, dizendo que há tantas vulnerabilidades nos modelos NAS D-Link DNS-320, que elas devem ser compiladas do zero para melhorar as coisas.
Embora versões antigas do firmware do DNS-320 sejam conhecidas como vulneráveis há pelo menos um bug que leva à execução remota de código, um backdoor embutido em código foi publicado em 2018 para o ShareCenter DNS‑320L.
Alguns usuários afetados pelo Cr1ptT0r admitiram ter uma versão de firmware desatualizada instalada e que seu dispositivo foi exposto à Internet no momento do ataque.
O malware elimina dois arquivos de texto simples nos dispositivos infectados. Uma é a nota de resgate chamada “_FILES_ENCRYPTED_README.txt”, que dá informações à vítima sobre como obter mais detalhes sobre o que aconteceu e como chegar aos operadores de ransomware para pagar o resgate em troca da chave de descriptografia do arquivo.
A nota de resgate aponta a vítima para o serviço de decodificação Cr1ptT0r, que contém os mesmos detalhes de contato e as etapas para obter a chave de desbloqueio.
Para verificar se eles podem descriptografar os dados, os operadores oferecem um meio para desbloquear o primeiro arquivo gratuitamente.
O outro arquivo de texto tem o nome “_cr1ptt0r_support.txt” e armazena o endereço de um site na rede Tor.
Essa é uma URL de suporte que as vítimas podem fornecer se estiverem perdidas sobre o que fazer. Ele habilita um shell remoto em um dispositivo infectado, se estiver on-line.
O membro do grupo Cr1ptT0r adicionou que as URLs e os endereços IP não são registrados, portanto, não há correlação entre os dados e a vítima.
Embora o membro do Cr1ptT0r diga que está apenas interessado em ser pago e que a espionagem não está na agenda deles, eles não podem garantir a privacidade.
As chaves para desbloquear arquivos são vendidas no mercado do OpenBazaar, por BTC 0.30672022 (cerca de U$$ 1.200 com o preço atual do Bitcoin).
Há também uma opção para pagar menos pela descriptografia de arquivo individual. O custo para isso é de U$$ 19,99, e você tem que enviar o arquivo criptografado para recebê-lo descriptografado.
Uma atualização recente da página da loja do OpenBazaar mostra que o operador do ransomware também oferece chaves de decodificação para o Synolocker pelo mesmo preço.
Essa cepa de ransomware causou sérios danos em 2014, quando infectou os servidores NAS da Synology que tinham versões desatualizadas do DiskStation Manager contendo duas vulnerabilidades.
Isso foi possível apesar do fornecedor ter liberado os patches pelo menos oito meses antes.
A equipe responsável pelo Synolocker encerrou o site em meados de 2014 e se ofereceu para vender a granel toda a chave de decodificação não reclamada que tinha para 200 BTC (cerca de US $ 100.000 na época), mais de 5.500 deles.
A equipe anunciou que todos os bancos de dados seriam excluídos permanentemente ao fechar o site.
Atualmente, a correspondência da chave privada que desbloqueia os dados na falta de um ID de vítima é possível por meio de força bruta, um processo que é bastante rápido neste caso, com alguns minutos para ser concluído, assim contou o manipulador do ransomware.
O ransomware, que é um binário ELF ARM, não anexa uma extensão específica aos dados criptografados, mas o pesquisador de segurança Michael Gillespie fez uma breve análise do malware e dos arquivos que criptografa e descobriu que adicionou o marcador de fim de arquivo “_Cr1ptT0r_”.
Ele também diz que as cadeias de caracteres que ele notou sugerem que essa linhagem de ransomware usa a biblioteca de criptografia Sodium e que usa o algoritmo “curve25519xsalsa20poly1305” para criptografia assimétrica.
Esses detalhes foram confirmados pelo membro do grupo Cr1ptT0r.
A chave pública (256 bits) usada para criptografar os dados está disponível em um arquivo separado chamado “cr1ptt0r_logs.txt”, que também armazena uma lista dos arquivos criptografados, e também é anexado ao final dos arquivos criptografados, pouco antes do marcador.
Gillespie diz que combina com o algoritmo de criptografia que ele observou acima.
No momento, o manipulador de ransomware parece interessado em segmentar dispositivos NAS, que são populares com pequenas empresas para armazenar e compartilhar dados internamente.
Esta é provavelmente a razão da grande demanda de resgate.
O Cr1ptT0r é novo no mercado, mas parece que está planejando uma longa estadia. Ele é construído para sistemas Linux, com foco em dispositivos embarcados, mas também pode ser adaptado ao Windows, de acordo com o fabricante.
O objetivo final é ganhar dinheiro e, seus criadores podem ter um retorno quase infinito sobre o investimento.
O malware não tem uma presença significativa no momento, mas pode se transformar em uma ameaça desagradável.
h2>O que está sendo falado no blog