Novo Ransomware Nevada tem como alvo os sistemas Windows e VMware ESXi

Novo Ransomware Nevada tem como alvo os sistemas Windows e VMware ESXi e parece aumentar suas capacidades rapidamente.

Uma operação de ransomware relativamente nova, conhecida como Nevada, parece aumentar suas capacidades rapidamente, pois os pesquisadores de segurança notaram uma funcionalidade aprimorada para o locaker direcionado aos sistemas Windows e VMware ESXi.

O ransomware Nevada começou a ser promovido nos fóruns RAMP darknet em 10 de dezembro de 2022, convidando cibercriminosos de língua russa e chinesa a se juntarem a ele para obter uma redução de 85% nos resgates pagos.

Para os afiliados que trazem muitas vítimas, Nevada diz que aumentará sua participação na receita para 90%.

Promoção de ransomware Nevada no RAMP
Promoção de ransomware Nevada no RAMP (Resecurity)

O RAMP foi relatado anteriormente como um espaço onde hackers russos e chineses promovem suas operações de cibercrime ou se comunicam com colegas.

O ransomware Nevada apresenta um locker baseado em Rust, portal de bate-papo de negociação em tempo real, domínios separados na rede Tor para afiliados e vítimas.

Painel de afiliados de Nevada
Painel de afiliados de Nevada (Resegurança)

Os pesquisadores da Resecurity analisaram o novo malware e publicaram um relatório sobre suas descobertas. Eles dizem que, embora o ransomware Nevada seja explícito sobre a exclusão de afiliados que falam inglês, os operadores estão abertos a fazer negócios com corretores de acesso controlados de qualquer lugar.

Segmentação de hosts do Windows

A variante do ransomware Nevada que se concentra em máquinas Windows é executada via console e oferece suporte a um conjunto de sinalizadores que dão a seus operadores algum controle sobre a criptografia:

  • -arquivo > criptografar arquivo selecionado
  • -dir > criptografar o diretório selecionado
  • -sd > auto excluir depois de tudo feito
  • -sc > excluir cópias de sombra
  • -lhd > carregar unidades ocultas
  • -nd > localizar e criptografar compartilhamentos de rede
  • -sm > criptografia de modo seguro

Uma característica interessante do ransomware Nevada é o conjunto de localidades do sistema que ele poupa do processo de criptografia. Normalmente, as gangues de ransomware excluem vítimas na Rússia e nos países da CEI (Comunidade de Estados Independentes). Com esse malware, a lista se estende à Albânia, Hungria, Vietnã, Malásia, Tailândia, Turquia e Irã.

A carga útil usa MPR.dll para coletar informações sobre recursos de rede, adicionando diretórios compartilhados na fila de criptografia. Cada unidade, incluindo as ocultas, recebe uma letra e todos os arquivos nelas também são adicionados à fila.

Após esse estágio, o criptografador é instalado como um serviço e, em seguida, o sistema violado é reiniciado no modo de segurança do Windows com uma conexão de rede ativa.

O locker usa o algoritmo Salsa20 para executar criptografia intermitente em arquivos maiores que 512 KB para criptografia mais rápida.

Executáveis, DLLs, LNKs, SCRs, URLs e arquivos INI nas pastas do sistema Windows e os arquivos de programas do usuário são excluídos da criptografia para evitar que o host da vítima não inicialize.

Arquivos criptografados e nota de resgate
Arquivos criptografados e nota de resgate (Resecurity)

Arquivos criptografados são anexados à extensão de arquivo “.NEVADA” e cada pasta hospeda uma nota de resgate que dá às vítimas cinco dias para atender às demandas do agente da ameaça, caso contrário, seus dados roubados seriam publicados no site de vazamento de dados de Nevada.

Bilhete de resgate
Nota de resgate de Nevada (Resecurity)

Segmentação de sistemas VMware ESXi

A versão Linux/VMware ESXi do ransomware Nevada usa o mesmo algoritmo de criptografia (Salsa20) que a variante do Windows. Ele depende de uma variável constante, uma abordagem vista anteriormente no ransomware Petya .

O criptografador Linux segue o mesmo sistema de criptografia intermitente. criptografando totalmente apenas arquivos menores que 512 KB.

Provavelmente devido a um bug na versão do Linux, o ransomware Nevada pulará todos os arquivos com tamanho entre 512 KB e 1,25 MB, descobriu o pesquisador.

O locker Linux suporta os seguintes argumentos:

  • -ajuda > ajuda
  • -daemon > criação e lançamento de um serviço ‘nevada’
  • -file > criptografar arquivo específico
  • -dir > criptografar pasta específica
  • -esxi > desativar todas as máquinas virtuais

Em sistemas Linux, a chave pública é armazenada no final do arquivo criptografado na forma de 38 bytes adicionais.

A Resecurity diz que as semelhanças compartilhadas com o ransomware Petya se estendem a bugs de implementação de criptografia que também podem possibilitar a recuperação da chave privada, o que permitiria recuperar os dados sem pagar o resgate.

Para recuperar os dados criptografados pelo Nevada Ransomware, precisamos saber a chave privada “B” e a chave pública “A”, que são adicionadas ao final do arquivo, nonce para Salsa20 e o tamanho do arquivo e algoritmo usado para selecionar ‘stripes’ para criptografar (que podem potencialmente ser medidos ou adivinhados).” – Ressegurança
Protótipo fictício de um descriptografador
Protótipo fictício de um descriptografador  (Resecurity)

O ransomware Nevada ainda está construindo sua rede de afiliados e corretores de acesso inicial, procurando por hackers habilidosos.

A Resecurity observou operadores de ransomware de Nevada comprando acesso a endpoints comprometidos e envolvendo uma equipe de pós-exploração dedicada para realizar a invasão.

Os pesquisadores observam que essa ameaça parece continuar crescendo e deve ser monitorada de perto.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 2362 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!