Nos últimos anos, o cenário de ameaças cibernéticas foi fortemente impactado por ransomwares, e um dos grupos que tem ganhado destaque recentemente é o “PaidMemes”. Armado com uma nova variante do MedusaLocker, conhecida como “BabyLockerKZ”, esse grupo tem infectado mais de 100 organizações por mês desde, pelo menos, 2022. Segundo a Cisco Talos, a descoberta de um grande dump de credenciais de Windows forneceu uma visão mais clara sobre esse criminoso e suas vítimas.
A Evolução do MedusaLocker e o Surgimento do BabyLockerKZ
O MedusaLocker é um ransomware bem conhecido, utilizado por diversos grupos criminosos para extorquir empresas em troca de criptografar seus dados e exigir pagamento para a restauração. A nova variante “BabyLockerKZ”, identificada pela Talos, apresenta modificações que incluem a inserção da marca “paid_memes” no malware e nas ferramentas auxiliares usadas nos ataques. Esses elementos permitiram que os pesquisadores identificassem outras instâncias do ransomware, ajudando a mapear o impacto global dessa operação.
De acordo com os dados da Cisco Talos, o PaidMemes tem como alvo empresas em todo o mundo, com uma mudança significativa no foco geográfico ao longo do tempo. Entre 2022 e o início de 2023, os alvos eram, em sua maioria, na Europa, com países como França, Alemanha, Espanha e Itália sendo os mais afetados.
No entanto, a partir do segundo trimestre de 2023, a atividade do grupo quase dobrou, e o foco geográfico se deslocou para a América Central e do Sul, com Brasil sendo o país mais visado, seguido por México, Argentina e Colômbia.
Além disso, ataques também foram registrados nos EUA, Reino Unido, Hong Kong, Coreia do Sul, Austrália e Japão. Até o primeiro trimestre de 2024, o grupo infectava cerca de 200 IPs únicos por mês, antes de uma leve redução na atividade.
Ataques Oportunistas a Pequenas e Médias Empresas
O PaidMemes não segue um padrão específico de alvos, sendo caracterizado por seu modus operandi oportunista. Muitas de suas vítimas são pequenas e médias empresas, às vezes com um único funcionário, o que evidencia a natureza aleatória dos ataques.
O grupo exige resgates relativamente baixos (na faixa de $30.000 a $50.000), o que sugere que eles estão mirando empresas que podem não ter robustas defesas de segurança ou recursos para arcar com altos valores de resgate. Esse valor mais baixo também indica que os criminosos preferem uma abordagem de baixo risco e alto volume, atacando muitas empresas menores ao invés de grandes corporações.
Ferramentas Utilizadas e Técnicas de Acesso
Embora outros grupos afiliados ao MedusaLocker usem configurações vulneráveis de RDP (Remote Desktop Protocol) e campanhas de phishing para invadir as redes, os métodos exatos de acesso do PaidMemes não são completamente conhecidos. Segundo os especialistas da Talos, a visibilidade nesse aspecto é limitada, e o que se sabe provém do dump de credenciais retiradas dos sistemas comprometidos.
O criminoso utiliza ferramentas amplamente disponíveis, como:
- Mimikatz: Usado para capturar credenciais armazenadas na memória do Windows.
- Checker: Um pacote que agrupa várias ferramentas, como o Remote Desktop Plus, PSEXEC e o próprio Mimikatz, auxiliando no movimento lateral dentro da rede.
- Mimik: Combina Mimikatz com o rclone, uma ferramenta de sincronização de arquivos, para exfiltrar credenciais e dados para servidores controlados pelo atacante.
Semelhanças com Sysadmins
Curiosamente, o comportamento do PaidMemes é semelhante ao de um administrador de sistemas (sysadmin), mas com intenções maliciosas. Assim como sysadmins, o atacante utiliza scripts e ferramentas para automatizar tarefas e tornar os ataques mais eficientes. No entanto, ao invés de gerenciar e proteger redes, o objetivo do PaidMemes é obter acesso não autorizado e roubar dados sensíveis.
Em muitos casos, os criminosos armazenam suas ferramentas nos diretórios “Músicas”, “Imagens” ou “Documentos” de computadores comprometidos, uma técnica simples, mas eficaz, para evitar a detecção.
Desafios para Pequenas e Médias Empresas
A natureza oportunista desses ataques coloca pequenas e médias empresas em uma posição vulnerável. Muitas dessas empresas não possuem autenticação multifator (MFA) ou Single Sign-On (SSO), tecnologias que poderiam ajudar a prevenir o acesso não autorizado. Mesmo que essas soluções existam, o custo de implementação é frequentemente proibitivo para essas empresas menores.
Além disso, essas organizações geralmente não possuem seguro cibernético, o que significa que são forçadas a pagar os resgates ou enfrentar perdas significativas de dados e tempo de inatividade.
Ameaças Crescentes para Pequenos Negócios
O surgimento do grupo PaidMemes e a variante BabyLockerKZ do MedusaLocker são exemplos de como criminosos estão se adaptando para atingir alvos menores, aproveitando vulnerabilidades em empresas com defesas cibernéticas limitadas. À medida que grandes corporações se tornam mais resistentes a ataques de ransomware, grupos como o PaidMemes estão mudando seu foco para pequenas e médias empresas, onde as defesas são mais fracas e os resgates, ainda que menores, são mais fáceis de serem obtidos.
Para proteger-se, é fundamental que empresas de todos os tamanhos invistam em soluções de segurança robustas, como MFA, sistemas de backup off-line e treinamento de conscientização de segurança para os funcionários, além de considerar o uso de monitoramento contínuo de ameaças e respostas rápidas a incidentes.
Fonte: https://whitehat.eu/medusalocker-ransomware-part-2/
Fonte: https://www.cynet.com/blog/dynamic-analysis-hazard-ransomware/
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.