Ransomware: LockerGoga
Sobre a ameaça
Sendo um dos mais recentes ransomwares, o LockerGoga tem padrões diferentes com alvos específicos, até então comerciais, podendo ser inclusive mais um malware no modelo RaaS (Ransomware as a Service).
Como o ataque acontece
1ª etapa:
O alvo recebe o phishing e executa a ameaça, que começa a fazer autocopia e alterações na chave de registro para execução automática na inicialização do sistema.
2ª etapa:
Logo a ameaça procura por extensões de arquivos conhecidas (.doc, .dot, .docx, .docb, .dotx, .wkb, .xlm, .xml, .xls, .xlsx, .xlt, .xltx, .xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, .py.).
Dependendo de sua variante, o LockerGoga pode fazer múltiplas execuções de si para cada arquivo sendo criptografado e a criptografia utilizada é o Crypto++ (biblioteca de algoritmos criptográficos C++ opensource).
A ameaça então começa a deixar mensagem solicitado o resgate em arquivos como READMENOW.txt, README_LOCKED.txt
Arquivos completamente criptografados tem a extensão renomeada para .locked e uma chave de registro do sistema é modificada:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{0120}
3ª etapa:
Dependendo da variante o alvo pode receber um e-mail com uma nota solicitando o resgate, tenta trocar as senhas dos usuários no ativo e desabilitar os adaptadores de rede, isolando o ativo, através da manipulação do netsh (um utilitário do sistema via shell).
Indícios de comprometimento
- Arquivos svc{aleatório}.{aleatório}.exe no diretório TEMP
- Arquivos worker, worker32
- Assinatura digital MIKL LIMITED em arquivos suspeitos
- Arquivos svch0st.5817.exe, svch0st.11077.exe
- Evidência de e-mails já associados à ameaça: CottleAkela@protonmail.com, QyavauZehyco1994@o2.pl (destinatário conhecido ao solicitar resgate)
Hashes associados:
Alguns dos hashes mais populares encontrados em ferramentas de segurança:
SHA 256:
bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f 88d149f3e47dc337695d76da52b25660e3a454768af0d7e59c913995af496a0f c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15 7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26 ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f eda26a1cd80aac1c42cdbba9af813d9c4bc81f6052080bc33435d1e076e75aa0
SHA 1:
37cdd1e3225f8da596dc13779e902d8d13637360 b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b 73171ffa6dfee5f9264e3d20a1b6926ec1b60897
Práticas de prevenção
- Revisão de agendamento de backups e testes de integridade
- Reforço nas boas práticas de segurança e phishing junto aos colaboradores
- Atualização de sistemas operacionais e aplicativos.
- Utilização de virtual patching em sistemas legado
- Atualização de assinaturas/patterns para antivírus e Advanced Threat Protection
- Atualização de todas as assinaturas/patterns de tecnologias secure mail gateway
- Revisão de agendamento de backups e testes de integridade
- Adição dos indícios e hash em tecnologias de segurança
- Reavaliação de política de utilização de contas com privilégios
Se for infectado
- Nunca pague o resgate: não há garantias de restauração dos dados. O pagamento apenas incentiva a prática do RaaS.
- Isolamento de ativos comprometidos: desconecte-os da rede para evitar infecção lateral
- Existe a possibilidade de remoção da ameaça por tecnologia antivírus, mas improvável a decodificação dos arquivos. Contudo, o melhor é formatar e restaurar backups atualizados.
- Se possível, colete amostras da ameaça, pois novas variáveis surgem. As amostras permitem análises e geração de novos patterns/hashes para prevenção em tecnologias de segurança e detecção, como SIEM.