CryptoWall 2.0. A nova maneira de seqüestro de dados

Embora o CryptoWall 2.0 seja um malware que faça o mesmo que o bem conhecido CryptoLocker, de acordo com uma análise feita pelos especialistas em segurança informática da Cisco, é possível afirmar que não estamos em presença de uma cópia melhorada, mas de um desenvolvimento muito mais sofisticado.

Ao analisar a ação do CryptoWall 2.0, as palavras escolhidas pelo desenvolvedor em sua mensagem são impressionantes: os arquivos não foram “seqüestrados”, mas “protegidos”. Ele acrescenta que sua estrutura “mudou irrevogavelmente” e que a vítima “não deve perder tempo” buscando soluções alternativas porque “elas não existem”. Ele informa ao proprietário da equipe atacada que a única maneira de resolver a situação é fazer um pagamento o mais rápido possível, usando um dos endereços da rede Tor que CryptoWall oferece.

Andrea Allievi e Earl Carter, do chamado Talos Security Group da Cisco, revelaram diversos aspectos técnicos desse novo malware. Primeiro, foi desenvolvido em 32 bits para atingir um maior alcance. No entanto, tem a capacidade de detectar se o sistema Windows que está atacando é de 64 bits, do qual ele muda para um modo x64. O módulo inicial chega ao computador atacado sob uma manobra de phishing convencional, aproveitando diferentes vulnerabilidades no Windows que permitem a elevação de privilégios. As versões também foram detectadas infectando sistemas através de arquivos PDF maliciosos. Todos os componentes que fazem parte da instalação CryptoWall 2.0 são criptografados e têm uma função para detectar a presença de uma máquina virtual. Seus criadores levaram em conta que os analistas de malware usam sistemas virtualizados ao estudar o comportamento do código malicioso, portanto, o CryptoWall verifica que não há processos de memória vinculados ao VirtualBox, ao VMWare e até ao Sandboxie.

Depois de desativar todas as medidas de segurança incorporadas no Windows e criar um processo svchost.exe falso, o CryptoWall descarrega um cliente Tor para ofuscar suas comunicações com a rede de comando e controle. A versão investigada por especialistas da Cisco aponta para domínios registrados na Rússia e cada um desses domínios é resolvido em um endereço IP desse país.

Post Author: Enrique Gordillo

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.