2014-7-29

SECURITY

Kaspersky Lab

Onion, novo ransomware que utiliza Tor, o potencial sucessor do Cryptolocker, para se esconder

O ransomware de encriptação é um tipo de malware que cifra os dados do utilizador para depois pedir um resgate pela sua recuperação. Este fenómeno está agora a atacar com uma nova fórmula, de acordo com uma investigação da Kaspersky Lab, segundo a qual um novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor (The Onion Router) para ocultar a sua natureza maliciosa e dificultar, assim, a identificação dos que estão por detrás desta campanha de malware

Onion, novo ransomware que utiliza Tor, o potencial sucessor do Cryptolocker, para se esconder

O Onion obriga as vítimas a pagar pela desencriptação da informação em Bitcoins num prazo de 72 horas sob pena de perderem os seus ficheiros para sempre

O TOR é uma rede de comunicações de baixa latência que, sobreposta na internet, permite actuar sem deixar rasto, mantendo no anonimato o endereço IP e a informação que viaja por ele.

As melhoras técnicas tornaram-no numa ameaça realmente perigosa e numa das encriptações mais sofisticados de hoje em dia, pelo que poderá tornar-se no sucessor do CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA e GpCode. Trata-se de um novo tipo de ransomware de encriptação que utiliza um mecanismo para assustar as vítimas, obrigando-as a pagar pela desencriptação da informação em Bitcoins. Os cibercriminosos dão um prazo de 72 horas para que o pagamento seja feito, ou todos os ficheiros serão perdidos para sempre.

Para transferir dados secretos e informação de pagamento, o Onion comunica com os servidores de comando e controlo localizados em algum lugar anónimo dentro da rede. Anteriormente, os investigadores da Kaspersky Lab já tinham visto este tipo de arquitectura de comunicações, mas só foi utilizada por algumas famílias de malware bancário, como o 64-bit ZeuS, melhorado graças ao Tor.

"Parece que o Tor se tornou num sistema eficaz para comunicações e está a ser utilizado por outro tipo de malware. Ocultar os servidores de comando e controlo na rede Tor complica a busca e detecção dos cibercriminosos, e o uso de um esquema criptográfico pouco ortodoxo faz com que seja impossível a desencriptação, mesmo se o tráfego entre o Trojan e o servidor for detectado. Tudo isto faz do Onion uma ameaça muito perigosa e uma das encriptações tecnologicamente mais avançadas que existem", afirma Fedor Sinitsyn, analista sénior de malware da Kaspersky Lab.

Para que o Onion chegue a um dispositivo, deve primeiro passar através da rede de bots Andrómeda (Backdoor.Win32.Androm). O bot recebe um comando para descarregar e executar outra peça de malware da família Joleee no dispositivo infectado. Este último software malicioso, em seguida, descarrega o malware Onion no dispositivo. Esta é só uma das possíveis formas de distribuição do malware observadas pela Kaspersky Lab.

Distribuição geográfica
A maioria das tentativas de infecção foi registada na CEI (comunidade de estados independentes de ex-repúblicas soviéticas), mas também há casos detectados na Alemanha, Bulgária, Israel, Emiratos Árabes Unidos e Líbia. As amostras de malware mais recentes admitem a interface em idioma russo. Este facto e o número de cadeias no interior do corpo do Trojan sugerem que os criadores do malware falam russo.

Recomendações para se manter seguro
- Fazer cópia de segurança de ficheiros importantes: a cópia de segurança deve ser feita regularmente e, por outro lado, guardada em dispositivos de armazenamento aos quais possamos aceder apenas durante este processo (por exemplo, um dispositivo de armazenamento amovível que se desconecte imediatamente depois de feito o backup). Se não se seguirem estas recomendações, os ficheiros da cópia de segurança poderão ser também eles atacados e encriptados pelo ransomware da mesma forma que as versões originais dos ficheiros.
- Instalar software antivírus: a solução de segurança deve estar sempre activa e todas as suas componentes ligadas. As bases de dados da solução também devem estar actualizadas.

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.