O cibercrime brasileiro é conhecido pelo desenvolvimento de trojans bancários, mas já começou a mover seus esforços para novas áreas de ataque — o que agora inclui ransomware, os vírus sequestradores. Recentemente, a Kaspersky Lab encontrou uma variante da praga desenvolvida por um grupo de criminosos do País. Chamado de Trojan-Ransom.Win32.Xpan, ele tem sido usado em ataques contra empresas e hospitais, cifrando arquivos por meio da extensão “.___xratteamLucked”.

Se você tem alguma dúvida sobre tecnologia, escreva para [email protected] e suas questões podem ser respondidas

O grupo por atrás do ataque se identifica com os nomes “TeamXRat” ou “CorporaçãoXRat”. A partir do trojan ransom Xpan, a Kaspersky concluiu que o grupo de criminosos evoluiu a qualidade do código para um esquema criptográfico mais complexo.

A mensagem de resgate é em português e não informa quanto a vítima terá de pagar para obter seus arquivos, nem o método de pagamento. O pedido de resgate faz com que as vítimas entrem em contato por e-mail usando contas configuradas em serviços anônimos, como Mail2Tor e Email.tg, informando a chave pública usada para cifrar os arquivos.

Assim que as vítimas entram em contato com o grupo criminoso, eles começam a negociar, respondendo em português e pedindo como pagamento um Bitcoin (cerca de R$ 2 mil) para decifrar os arquivos. Os ladrões acreditam que o ato é uma “doação” porque eles “exploraram falhas no sistema e fizeram o ataque para que se melhore a segurança”. Os cibercriminosos ainda fazem a gentileza de decifrar um arquivo de graça.

A maioria dos ataques realizados pelo TeamXRat é feito manualmente instalando o ransomware no servidor hackeado. Para fazer o ataque, usam força bruta em servidores com o RDP (Remote Desktop Protocol) ativado. Esse tipo de ataque não é algo novo. Porém, fazê-lo sem os devidos controles para prevenir ou pelo menos detectar e responder às tentativas é bastante desejado pela maioria dos cibercriminosos. Uma vez que o servidor é comprometido, o criminoso manualmente desativa o antivírus instalado e procede com a infecção e criptografia dos arquivos.

A equipe de especialistas da Kaspersky Lab foi capaz de decifrar o ransomware XPan, permitindo que um hospital, vítima do ataque desse grupo, pudesse recuperar seus arquivos. Se você foi vítima dessa ameaça, não pague o resgate. Entre em contato com o suporte da empresa que pode ajudá-lo a resolver o problema.