Trojan Rakhni: o criptor minerador

Ransomware criptor Rakhni, conhecido desde 2013, agora está apostando na mineração de Monero.

Recentemente falamos sobre como ransomwares estão perdendo espaço para os mineradores no topo dos rankings das ciberameaças. Em sintonia com essa tendência, o Trojan ransomware Rakhni, que observamos desde 2013, adicionou um módulo de mineração de criptomoedas ao seu arsenal. O interessante é que o loader do malware é capaz de escolher qual componente instalar dependendo do dispositivo. Nossos pesquisadores descobriram como a nova versão funciona e onde mora o perigo.
Nossas soluções flagraram o Rakhni na Rússia, Cazaquistão, Ucrânia, Alemanha e Índia. O malware é distribuído principalmente por meio de correspondências de spam com anexos maliciosos. A amostra estudada por nossos especialistas, por exemplo, foi disfarçada como um documento financeiro. Isso sugere que os cibercriminosos envolvidos estão principalmente interessados em “clientes” corporativos.

Um anexo DOCX em um e-mail de spam possui um documento PDF. Se o usuário permite a edição e tenta abrir o PDF, o sistema solicita permissão para rodar um arquivo executável de um fornecedor desconhecido. Com a permissão do usuário, o Rakhni entra em ação.

Sua empresa está preparada para as ameaças sofisticadas?

Como um ladrão na noite

Quando inicializado, o arquivo PDF malicioso parece ser um visualizador de documentos. Primeiro, o malware mostra uma mensagem de erro para a vítima explicando por qual razão nada abriu. Depois, desabilita o Windows Defender e instala certificados digitais forjados. Apenas quando a barra parece estar limpa decide o destino do dispositivo infectado – criptografar arquivos e pedir resgate ou instalar um minerador.

Por fim, o programa malicioso tenta se espalhar para outros computadores dentro da rede local. Se funcionários de empresas tiverem compartilhado o acesso ao diretório de usuário com os seus dispositivos, o malware copia a si mesmo nesses aparelhos.

Minerar ou criptografar?

 O critério de seleção é simples: se o malware encontra uma pasta de serviço chamada Bitcoin no computador da vítima, opta pelo ransomware que encripta arquivos (incluindo documentos Office, PDFs, imagens e backups) e exige um pagamento de resgate dentro de três dias. Os cibercriminosos prometem atenciosamente enviar os detalhes do resgate por e-mail, incluindo seu valor.

Se não existirem pastas relacionadas a Bitcoin no dispositivo, e o malware assume que há energia suficiente para minerar criptomoedas, baixa um minerador que, clandestinamente, gera tokens de Monero, Monero Original ou Dashcoin em segundo plano.

Não seja uma vítima

Para evitar ser infectado pelo Rakhni e que sua empresa sofra os danos, seja muito cauteloso com mensagens recebidas, especialmente aquelas que vêm de endereços de e-mail desconhecidos. Se tiver qualquer dúvida sobre abrir um documento, não o faça. Além disso, preste muita atenção aos avisos do sistema operacional: não execute programas de fornecedores desconhecidos, principalmente se os nomes forem parecidos com os de programas populares.

Na luta contra mineradores e cryptors em redes corporativas, siga essas dicas e matenha-se protegido:

  • Treine a sua equipe de segurança de TI e teste regularmente seus conhecimentos. Se precisar de ajuda com isso, nossos especialistas podem dar um jeito.
  • Faça backups de dados sensíveis em um dispositivo de armazenamento independente.
  • Utilize soluções de segurança confiáveis dotadas de análise comportamental – o Kaspersky Endpoint Security for Business, por exemplo.
  • Procure por anomalias em sua rede corporativa regularmente.

Mesmo sem utilizar as soluções corporativas da Kaspersky Lab, não há motivos para deixar os dados de seu negócio vulneráveis a criminosos. Temos uma solução dedicada – o Kaspersky Anti-Ransomware Tool – que pode complementar os produtos de segurança da maioria dos demais fornecedores. A ferramenta aplica as últimas tecnologias de detecção comportamental e nossos mecanismos de nuvem para caçar esse tipo de malware.

Dicas