EXISC Ransomware tem como alvo corporações e empresas

Durante nossa investigação de novos envios no site VirusTotal, encontramos um programa ransomware chamado EXISC. Seu objetivo principal é criptografar dados e exigir pagamento em troca de descriptografá-los.

Ao executar uma amostra do EXISC em nosso sistema de teste, observamos que ele criptografou os arquivos com sucesso e anexou uma extensão ".EXISC" aos seus nomes de arquivo originais. Por exemplo, um arquivo chamado "1.jpg" seria transformado em "1.jpg.EXISC", enquanto "2.png" se tornaria "2.png.EXISC" e assim por diante.

Após o processo de criptografia, o EXISC gerou uma nota de resgate intitulada "Entre em contato conosco para restaurar.txt". A partir do conteúdo desta mensagem, ficou claro que o ransomware visa principalmente grandes organizações, em vez de usuários domésticos individuais.

A nota de resgate informa à vítima que a rede de sua empresa foi comprometida. A extensão do dano é descrita a seguir: os arquivos foram criptografados e dados confidenciais foram roubados.

Segundo a nota, a vítima deve efetuar o pagamento do resgate para recuperar o acesso aos seus arquivos e evitar que o conteúdo exfiltrado vaze. Embora o valor exato do resgate não seja especificado, é explicitamente mencionado que o pagamento deve ser feito em criptomoedas Bitcoin ou Monero.

Além disso, a nota sugere que um certo número de arquivos pode ser enviado para uma descriptografia de teste. Isso deve servir como prova para a vítima de que a recuperação de dados é realmente possível.

Nota de resgate EXISC espera contato por meio de tox

O texto completo da nota de resgate do EXISC é o seguinte:

Olá, o computador da sua empresa é criptografado por mim e o banco de dados e os dados são baixados. Se você não quiser que eu divulgue esses materiais, você deve me pagar um resgate. Após receber o resgate, excluirei todos os arquivos baixados e ajudarei você a descriptografar seu computador, caso contrário, se o fizermos, divulgaremos esses materiais e sua empresa enfrentará repercussões sem precedentes.

Trabalhamos apenas por dinheiro e não destruímos sua rede, e somos muito honestos. Depois de receber o resgate, também forneceremos informações sobre a vulnerabilidade do seu sistema para ajudá-lo a corrigir a vulnerabilidade e evitar novos ataques.

Se você duvida de nossa capacidade de descriptografar arquivos, envie-me alguns arquivos criptografados e eu os descriptografarei para provar isso.

Por favor, pague o resgate em Bitcoin ou Monero.

Por favor, use TOX para entrar em contato comigo ou envie-me um e-mail.

E-mail: HonestEcoZ@dnmx.org

ID TOX:(sequência alfanumérica)
Baixar TOX:hxxps://tox.chat/download.html

Quais são os vetores de infecção mais comuns para ransomware como o EXISC?

Ransomware como EXISC emprega vários vetores de infecção para se infiltrar em sistemas e redes. A seguir estão alguns dos vetores de infecção mais comuns utilizados pelo ransomware:

• E-mails de phishing: os e-mails de phishing continuam sendo um método predominante de distribuição de ransomware. Os cibercriminosos criam e-mails convincentes que parecem legítimos, geralmente se passando por entidades ou indivíduos confiáveis. Esses e-mails contêm anexos maliciosos ou links incorporados que, quando clicados ou abertos, iniciam o processo de infecção do ransomware.
• Downloads e anexos maliciosos: o ransomware pode ser baixado inadvertidamente de sites maliciosos ou por meio de anexos de arquivos infectados. Isso pode ocorrer quando os usuários visitam sites comprometidos ou abrem anexos de e-mail que contêm arquivos executáveis, macros ou cargas úteis baseadas em script.
• Kits de exploração: Os kits de exploração são ferramentas maliciosas que aproveitam as vulnerabilidades de software presentes em navegadores da Web, plug-ins ou sistemas operacionais. Ao explorar essas vulnerabilidades, o ransomware pode ser entregue silenciosamente ao sistema da vítima quando ela visita um site comprometido ou clica em um anúncio malicioso.
• Ataques de Protocolo de Área de Trabalho Remota (RDP): os operadores de ransomware geralmente têm como alvo sistemas com conexões de Protocolo de Área de Trabalho Remota expostas ou fracamente protegidas. Eles usam técnicas de força bruta para obter acesso não autorizado e instalar o ransomware.
• Vulnerabilidades de software: Ransomware pode explorar vulnerabilidades de software desatualizadas ou não corrigidas para se infiltrar nos sistemas. Isso inclui vulnerabilidades em sistemas operacionais, aplicativos ou serviços de rede, que permitem que o ransomware obtenha acesso não autorizado e execute sua carga útil.
• Malvertising: Anúncios maliciosos, ou malvertisements, podem ser encontrados em sites legítimos ou redes de anúncios. Esses anúncios contêm scripts ocultos que redirecionam os usuários para sites maliciosos que hospedam ransomware ou acionam downloads automáticos da carga útil do ransomware.
• Drive-by downloads: drive-by downloads ocorrem quando o ransomware é baixado automaticamente sem o consentimento ou interação do usuário, geralmente de sites comprometidos. Esses sites contêm códigos maliciosos que exploram vulnerabilidades no navegador ou plug-ins do usuário, permitindo que o ransomware seja distribuído silenciosamente.