O cenário de ameaças cibernéticas continua a evoluir a um ritmo alarmante, com os grupos criminosos a aperfeiçoarem constantemente as suas ferramentas para maximizar o impacto dos ataques. O grupo RansomHouse, conhecido pelas suas operações de extorsão de dados, acaba de realizar uma atualização significativa ao seu arsenal, trocando técnicas lineares por métodos muito mais complexos. Segundo a análise detalhada da Palo Alto Networks Unit 42, esta nova variante do encriptador, apelidada de “Mario”, introduz múltiplas camadas de ofuscação e processamento.
Esta evolução técnica visa não só aumentar a velocidade da encriptação em ambientes modernos, mas também garantir que as vítimas tenham muito menos hipóteses de recuperar os seus dados sem cederem às exigências dos criminosos.
Conheçam o “Mario”: Uma evolução técnica em dois estágios
A grande inovação trazida por esta variante reside na forma como trata os dados das vítimas. Ao contrário das versões anteriores que utilizavam uma transformação de dados de passagem única, o “Mario” implementa uma abordagem de dois estágios. Este novo método recorre a duas chaves distintas: uma chave primária de 32 bytes e uma chave secundária de 8 bytes.
Esta alteração resulta num aumento drástico da entropia da encriptação. Na prática, isto significa que a complexidade matemática envolvida torna extremamente difícil, se não impossível, a recuperação parcial de ficheiros através de métodos tradicionais de análise. Além disso, o encriptador apresenta agora uma gestão de memória e organização de buffer melhoradas, utilizando múltiplos buffers dedicados para cada fase da encriptação, o que demonstra um nível de sofisticação crescente no desenvolvimento deste tipo de ransomware.
Foco em Máquinas Virtuais e evasão de análise
Para além da encriptação reforçada, o RansomHouse implementou estratégias desenhadas especificamente para frustrar os esforços dos investigadores de segurança. O “Mario” utiliza um dimensionamento dinâmico de pedaços (chunk sizing) com um limite de 8 GB, aplicando a encriptação de forma intermitente. A utilização de matemática complexa para determinar a ordem de processamento e a abordagem não-linear dificultam severamente a análise estática e a engenharia reversa do código malicioso.
O alvo preferencial destas ferramentas continua a ser o ambiente corporativo, especificamente ficheiros de máquinas virtuais. Os ficheiros comprometidos são renomeados com a extensão .emario, e o grupo deixa notas de resgate em todos os diretórios afetados. Vale recordar que este grupo já tinha demonstrado a sua capacidade de atingir infraestruturas críticas com ferramentas como o MrAgent, desenhado para automatizar ataques a hipervisores VMware ESXi. Embora o RansomHouse não opere com o volume massivo de outros gangues, esta aposta na eficiência e na dificuldade de desencriptação sinaliza uma estratégia calculada para garantir o pagamento dos resgates.
Nenhum comentário
Seja o primeiro!