Novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor
Tipicamente quando um utilizador suspeita que o seu computador foi infectado é normal dizer que o mesmo tem vírus. Este é o termo mais utilizado pelo utilizador comum e serve para englobar tudo o que “seja mau” no sistema.
Recentemente a Kaspersky Lab detectou um novo Ransomware de encriptação ao qual foi dado o nome de Onion.
O Ransomware de encriptação é um tipo de malware que cifra os dados do utilizador para depois pedir um resgate pela sua recuperação.
Este fenómeno está agora a atacar com uma nova fórmula, de acordo com uma investigação da Kaspersky Lab, segundo a qual um novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor (The Onion Router) para ocultar a sua natureza maliciosa e dificultar, assim, a identificação dos que estão por detrás desta campanha de malware.
O TOR é uma rede de comunicações de baixa latência que, sobreposta na internet, permite actuar sem deixar rasto, mantendo no anonimato o endereço IP e a informação que viaja por ele.
As melhoras técnicas tornaram-no numa ameaça realmente perigosa e numa das encriptações mais sofisticados de hoje em dia, pelo que poderá tornar-se no sucessor do CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA e GpCode. Trata-se de um novo tipo de ransomware de encriptação que utiliza um mecanismo para assustar a vítimas, obrigando-as a pagar pela desencriptação da informação em Bitcoins. Os cibercriminosos dão um prazo de 72 horas para que o pagamento seja feito, ou todos os ficheiros serão perdidos para sempre.
Para transferir dados secretos e informação de pagamento, o Onion comunica com os servidores de comando e controlo localizados em algum lugar anónimo dentro da rede. Anteriormente, os investigadores da Kaspersky Lab já tinham visto este tipo de arquitectura de comunicações, pero só foi utilizada por algumas famílias de malware bancário, como o 64-bit ZeuS, melhorado graças ao Tor.
“Parece que o Tor se tornou num sistema eficaz para comunicações e está a ser utilizado por outro tipo de malware. Ocultar os servidores de comando e controlo na rede Tor complica a busca e detecção dos cibercriminosos, e o uso de um esquema criptográfico pouco ortodoxo faz com que seja impossível a desencriptação, mesmo se o tráfego entre o Trojan e o servidor for detectado. Tudo isto faz do Onion uma ameaça muito perigosa e uma das encriptações tecnologicamente mais avançadas que existem”, afirma Fedor Sinitsyn, analista sénior de malware da Kaspersky Lab.
Para que o Onion chegue a um dispositivo, deve primeiro passar através da rede de bots Andrómeda (Backdoor.Win32.Androm). O bot recebe um comando para descarregar e executar outra peça de malware da família Joleee no dispositivo infectado. Este último software malicioso, em seguida, descarrega o malware Onion no dispositivo. Esta é só uma das possíveis formas de distribuição do malware observadas pela Kaspersky Lab.
Distribuição geográfica
A maioria das tentativas de infecção foi registada na CEI (comunidade de estados independentes de ex-repúblicas soviéticas), mas também há casos detectados na Alemanha, Bulgária, Israel, Emiratos Árabes Unidos e Líbia. As amostras de malware mais recentes admitem a interface em idioma russo. Este facto e o número de cadeias no interior do corpo do Trojan sugerem que os criadores do malware falam russo.
Recomendações para se manter seguro
- Fazer cópia de segurança de ficheiros importantes: a cópia de segurança deve ser feita regularmente e, por outro lado, guardada em dispositivos de armazenamento aos quais possamos aceder apenas durante este processo (por exemplo, um dispositivo de armazenamento amovível que se desconecte imediatamente depois de feito o backup). Se não se seguirem estas recomendações, os ficheiros da cópia de segurança poderão ser também eles atacados e encriptados pelo ransomware da mesma forma que as versões originais dos ficheiros.
- Instalar software antivírus: a solução de segurança deve estar sempre activa e todas as suas componentes ligadas. As bases de dados da solução também devem estar actualizadas.