🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
O ransomware SunCrypt foi descoberto em outubro de 2019 e em agosto de 2020 foi adicionado ao cartel do ransomware Maze. Ele também segue algumas das táticas, técnicas e procedimentos de Maze. O SunCrypt é iniciado e instalado usando um script PowerShell ofuscado (Fig. 1) que é semelhante ao Netwalker.
[caption id="attachment_8278" align="aligncenter” width="624"]
Fig. 1: Script PowerShell ofuscado [/caption]
EUAnexos de e-mail infectados (macros), sites de torrent e anúncios maliciosos atuam como portadores desse ransomware. Depois de instalado, o SunCrypt se conecta ao endereço IP 91.218.114.31 e transmite informações sobre o ataque e a vítima. Esse ransomware impede que as vítimas acessem arquivos criptografando-os com o algoritmo criptográfico ChaCha20. Ele renomeia todos os arquivos criptografados e cria uma nota de resgate (Figura 2). Ele também renomeia arquivos criptografados anexando uma sequência de caracteres aleatórios como uma nova extensão. Por exemplo, o SunCrypt renomearia um arquivo chamado "1.jpg" para “1.jpg.f3f2420c68439b451670486b17ef6d1b0188a -7982E7A9DBD9327E7F967C15767.” Quando a infecção for concluída, todos os arquivos no dispositivo serão criptografados e os operadores do SunCrypt exigirão um resgate pelo decodificador. Trojans adicionais de roubo de senhas e infecções por malware também são instalados junto com o ransomware, às vezes, para registrar as atividades do usuário.
[caption id="attachment_8279" align="aligncenter” width="599"]
Fig. 2: Nota de resgate da SunCrypt [/caption]
Fig. 1: Script PowerShell ofuscado [/caption]
EUAnexos de e-mail infectados (macros), sites de torrent e anúncios maliciosos atuam como portadores desse ransomware. Depois de instalado, o SunCrypt se conecta ao endereço IP 91.218.114.31 e transmite informações sobre o ataque e a vítima. Esse ransomware impede que as vítimas acessem arquivos criptografando-os com o algoritmo criptográfico ChaCha20. Ele renomeia todos os arquivos criptografados e cria uma nota de resgate (Figura 2). Ele também renomeia arquivos criptografados anexando uma sequência de caracteres aleatórios como uma nova extensão. Por exemplo, o SunCrypt renomearia um arquivo chamado "1.jpg" para “1.jpg.f3f2420c68439b451670486b17ef6d1b0188a -7982E7A9DBD9327E7F967C15767.” Quando a infecção for concluída, todos os arquivos no dispositivo serão criptografados e os operadores do SunCrypt exigirão um resgate pelo decodificador. Trojans adicionais de roubo de senhas e infecções por malware também são instalados junto com o ransomware, às vezes, para registrar as atividades do usuário.
[caption id="attachment_8279" align="aligncenter” width="599"] Fig. 2: Nota de resgate da SunCrypt [/caption]
Indicadores de compromisso
-
- 91,218,114,30
- http://91.218.114.30
- http://91.218.114.31
- 91,218,114,31
- ebwexiymbsib4rmw.onion
- nbzzb6sa6xuura2z.cebola
- SHA256: E3DEA10844AEBC7D60AE330F2730B7ED9D18B5EEC02EF9FD4A394660E82E2219
- carregador PowerShell
-
- MD5: d87fcd8d2bf450b0056a151e9a116f72
- SHA1:48cb6bdbe092e5a90c778114b2dda43ce3221c9f
- SHA256:3090BFF3D16B0B150444C3BFB196229BA0AB0B6B826FA306803DE0192BEDDB80
Impacto
- O principal resultado do ataque de ransomware é a indisponibilidade dos dados devido à criptografia.
- O resgate exigido é muitas vezes pesado. Os operadores baseiam suas demandas no valor da organização-alvo.
- Ações judiciais de clientes e multas de conformidade levam à perda de reputação e boa vontade da empresa.
- O tempo de inatividade do serviço afetará financeiramente a empresa e reduzirá o relacionamento com os clientes.
Mitigação
- Não abra e-mails suspeitos e irrelevantes, especialmente aqueles recebidos de remetentes desconhecidos/suspeitos.
- Bloqueie a instalação de programas de fontes desconhecidas.
- Faça o download de fontes relevantes e confiáveis.
- Faça um backup regular dos seus dados.
- Use um scanner confiável para detectar o malware.
- Desative o Windows PowerShell, que é uma estrutura de automação de tarefas.
