No final de Fevereiro de 2023, os especialistas da Kaspersky descobriram uma nova série de dados divulgados publicados em fóruns. Após analisar os dados, que continham 258 chaves privadas, código fonte e alguns descodificadores pré-compilados, a Kaspersky lançou uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware.
O Conti apareceu em finais de 2019 e esteve muito ativo ao longo de 2020, representando mais de 13% de todas as vítimas de ransomware durante este período. Contudo, há um ano, uma vez que o código fonte foi divulgado, várias modificações do Conti ransomware foram criados por vários grupos de cibercriminosos e utilizados nos seus ataques.
A variante malware, cujas chaves foram divulgadas, tinha sido descoberta por especialistas da Kaspersky em Dezembro de 2022. Esta variante foi utilizada em múltiplos ataques contra empresas e instituições estatais.
As chaves privadas divulgadas estão localizadas em 257 pastas (apenas uma destas pastas contém duas chaves). Algumas delas contêm descodificadores previamente gerados e vários ficheiros comuns: documentos, fotos, etc. Presumivelmente, estes últimos são ficheiros de teste – alguns ficheiros que a vítima envia aos scammers para se certificar de que os ficheiros podem ser decifrados.
Trinta e quatro destas pastas denominaram explicitamente empresas e agências governamentais. Assumindo que uma pasta corresponde a uma vítima, e que os descodificadores foram gerados para as vítimas que pagaram o resgate, pode sugerir-se que 14 das 257 vítimas pagaram o resgate.
Após análise dos dados, os especialistas lançaram uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware. O código de descodificação e todas as 258 chaves foram adicionados à última construção do utilizador RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, a ferramenta de descodificação foi adicionada ao site "No Ransom" da Kaspersky (https://noransom.kaspersky.com).
"Durante muitos anos consecutivos, o ransomware tem permanecido uma ferramenta importante utilizada pelos cibercrooks. No entanto, porque estudámos os TTPs de vários grupos de ransomware e descobrimos que muitos deles operam de forma semelhante, a prevenção de ataques torna-se mais fácil. A ferramenta de descodificação contra esta nova modificação já está disponível na nossa página web "No Ransom". Contudo, gostaríamos de salientar que a melhor estratégia é reforçar as defesas e deter os atacantes nas fases iniciais da sua intrusão, impedindo a implementação de resgates e minimizando as consequências do ataque", diz Fedor Sinitsyn, principal analista de malware na Kaspersky.
Nenhum comentário
Seja o primeiro!