Maze: rumo a um “cartel”

, Author

Towards a “cartel” de resgate?

Os hackers por detrás do Labirinto parecem estar a ir nessa direcção.

Uma publicação recente no seu “site de exposição” é prova disso. Inclui dados de uma operação com outro grupo de cibercriminosos.

p>Esse grupo é conhecido como LockBit.
A equipa do Labirinto confirma a colaboração, centrada na “partilha da sua experiência e plataforma”. Acrescenta que está a conduzir discussões com outros colectivos, um dos quais se espera que se junte ao loop “dentro de poucos dias”

LockBit está entre os resgates vendidos “como um serviço”. Os seus componentes são alugados através de um programa de afiliados lançado no início de 2020.

p>Sophos tinha publicado uma análise detalhada do mesmo há algumas semanas atrás.

Discreet, mas não demasiado

A empresa britânica observa, em particular, que a LockBit foi concebida para não atacar sistemas ligados à Rússia e antigas repúblicas soviéticas (unidas na Comunidade de Estados Independentes).
Filtragem é realizada com base na língua principal do sistema. Com excepções para azeri, arménio, bielorrusso, georgiano, cazaque, russo, tajique, uzbeque e ucraniano.

O serviço de resgate apresenta várias optimizações concebidas para melhorar o seu desempenho. Entre, a tecnologia Intel Instruction Set Extension (SSE) e a IOCP API, que permite várias operações de E/S assíncronas.

Também apresenta alguns elementos curiosos. Por exemplo, o bloqueio da execução sempre que é feito com parâmetros adicionados na linha de comando. Segundo Sophos, o oposto deveria ser verdade, reflectindo uma técnica clássica de detecção da execução em caixa de areia.

Se não tiver privilégios de administrador, LockBit obtém-os contornando o UAC (Controlo de Conta de Utilizador do Windows). Para estes fins, apresenta-se como um processo fiável (explorer.exe).
Lista depois as unidades de rede cifráveis. Incluindo as que requerem identificação. Para o fazer, tenta uma ligação com o login e palavra-passe da sessão actual.

Além dos processos e serviços que tenta fechar antes de correr, o software de resgate tem uma lista de itens que não devem ser encriptados. Entre eles estão ficheiros que poderiam impedir o sistema de arrancar… e exibir a nota de resgate.

p>A mensagem aparece como papel de parede. Mas Sophos avistou um caso em que a LockBit foi mais a montante. Encriptou parte do sector de arranque do disco, impedindo o arranque enquanto não for introduzida uma palavra-passe.

p>Muitas medidas foram postas em prática para não deixar rasto. Mas LockBit não se esconde quando tenta impedir que o sistema alvo se desligue: as mensagens de aviso estão…no seu nome.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *