Na última quinta-feira (19), o grupo cibercriminoso RansomExx alegou autoria sobre o sequestro dos dados de uma grande empresa varejista brasileira. Além de causar a paralisação total do e-Commerce e impossibilitar as vendas feitas nos cartões de bandeira de domínio próprio nas lojas físicas, os criminosos exigiram um resgate que pode ultrapassar a quantia de US$ 1 bilhão.
Apesar do ataque ser agressivo e causar inúmeros prejuízos para a companhia, uma vez que, após mais de 24h do início da ação, o sistema ainda está suspenso. O grupo cibercriminoso diz não estar interessado em divulgar os dados coletados, o único objetivo da ação, é arrecadar a quantia em dinheiro solicitada.
Histórico de taques no Brasil
Esta não é a primeira vez que o RansomExx invade os sistemas de empresas brasileiras, em novembro do ano passado, o grupo criminoso criptografou os servidores do STJ (Supremo Tribunal de Justiça) e causou a suspensão de sessões por aproximadamente uma semana. A Embraer, uma das maiores fabricantes da aviação mundial, também já foi alvo do grupo.
Como o ataque funciona:
Segundo os especialistas do Blockbit LAB, que decodificaram o funcionamento deste ransomware, este tipo de ciberataques funciona via a intrusão de e-mails falsos ou atinge vulnerabilidades do sistema Linux/VMWare ESXi.
Feito em duas etapas, o ataque chega ao alvo desejado via phishing. Ao abrir o conteúdo, é iniciado um download que, dá início à infecção do sistema. Em seguida, é gerado um payload via endereço de URL, com um arquivo de extensão .png contendo o ransomware. Um exemplo: http://13.xxx.68.xxx/pm13/pm13.png
Após a conclusão destas duas etapas, os cibercriminoso conseguem acesso irrestrito ao sistema infectado, mesmo que ele conte com tecnologia de criptografia.
Ainda de acordo com os especialistas do Blockbit LAB, após consolidarem a lista de IOC’s RansomExx, foi constatado que os usuários da plataforma 2.0 estão totalmente seguros contra este tipo de ataque.
Lista de IOC’s RansomExx:
IPv4 173.208.164.34
IPv4 192.243.102.227
IPv4 162.248.245.71
IPv4 185.206.144.40
IPv4 185.212.47.21
IPv4 64.44.51.101
IPv4 23.106.125.154
IPv4 144.217.174.184
IPv4 216.189.145.132
IPv4 192.254.66.108
IPv4 13.85.68.166
IPv4 13.36.229.81
FileHash-SHA256 64C51351AAFB4CD339934A78D064847BDD833B963EAFBADE86EB51AC2C1677F4
FileHash-SHA256 78147D3BE7DC8CF7F631DE59AB7797679ABA167F82655BCAE2C1B70F1FAFC13D
FileHash-SHA256 CB408D45762A628872FA782109E8FCFC3A5BF456074B007DE21E9331BB3C5849
FileHash-SHA256 ED2B1F855FC7A39A7CF2CFBFD5A10707801BA313BAB9C5D748FCD3703AAD66FC
FileHash-SHA256 D85F4448D5AEA240D68C07BEC6F363986D71940C3C1A3E49053D55FD1741C41E
FileHash-SHA256 F543C477BA67AFD4FB2AE111B22C8D596BF8E61E13A627F6A972FAC4762A70C1
FileHash-SHA256 E55FCF9315C52D2ABD3431F7E4BB82CBD2B0D24D124E0E1A27B951030B2DE162
FileHash-SHA256 4CAE449450C07B7AA74314173C7B00D409EABFE22B86859F3B3ACEDD66010458
FileHash-SHA1 30391fe6c4ba0b13050863089249c5a7c8f162e2
FileHash-SHA1 58c581a7f819cf326cadc3db4f43ffcd8203ee5e
FileHash-SHA1 6b5e5a742a8b98b9a87cf317ff694797d49d756a
FileHash-SHA1 035c138f3e73b402a48c94e2d97491931b1a0038
FileHash-SHA1 33e792ebbd5b4b75b84de2ddf4d47599339f2896
FileHash-SHA1 6a0a7e3a21888b87fde3323e0dc4fc085e71a8b7
FileHash-SHA1 08574581b59387626aed58a824f3d84b2ea225c9
FileHash-SHA1 d2716833296317323f7cce5691940ab0b58e36d7
FileHash-SHA1 5448e52acc4bfe16cebaef661ca19a913e189bd4
FileHash-SHA1 142b147c3b5597dead28d8ba91927ac0a960bf41
FileHash-SHA1 1bc3dce31fe1beb727cd449e6cec70578c5dcb55
FileHash-MD5 63e751462c47f95c89ab83df8d89a36a
FileHash-MD5 e87bb48fe2765fabb695002f20b110a5
FileHash-MD5 042f9c2ad916d859eed4875439c317dc
FileHash-MD5 d2265abffd6f3093177d7751cef85362
FileHash-MD5 5f94faa27dd26b1be8d62fff816e0d62
FileHash-MD5 8f3dacc0bcb80a9a29cc5cd6483492d0
FileHash-MD5 8e5375a9f1e45cd2200d6f3e2c093314
FileHash-MD5 e4c99cd6346d2f1d97b328c2071a4e12
FileHash-MD5 8e5375a9f1e45cd2200d6f3e2c091532
FileHash-MD5 4f0374da16a4469b553a92cb89a26836
FileHash-MD5 0688edb9292aad7febf108238fac5c64
FileHash-MD5 001519e481baed03b4d92a0848024f80
FileHash-MD5 129a057445edf42315c6d626c852f9af
FileHash-MD5 b5486edc903eda5b506e7347487477c2
FileHash-MD5 5f94faa27dd26b1be8d62fff816e1871
FileHash-MD5 1a546d8713bffdef3aa74b7f01f3a25e
FileHash-MD5 5a05d348be020d55bf69f109130bb283
FileHash-MD5 fe571f22a4d0745a2028e52960ffbaf3
FileHash-MD5 e57c25f7969f03dc47ec6ea04d2fe9d9
FileHash-MD5 e494c1420a2e1bf2f96ee7698f87d468
FileHash-MD5 6fc225927e1830f7c5e692197e4b98aa
FileHash-MD5 7ee46373a0a370ee9657aebc9ef5448a
FileHash-MD5 2b0ae63aa23b37abd6e51c5954d1be21
FileHash-MD5 cf73aa73404a5c9cf0ec50fdd0d7e9ce
FileHash-MD5 a8abb3ccbb0a97b127cc27fbf5d06e06
FileHash-MD5 09984d531d55abce0bd1357f87e5044f
FileHash-MD5 437e30fdb138801e17543edd395a783b
FileHash-MD5 129a057445edf42315c6d626c85dba3b
FileHash-MD5 e87bb48fe2765fabb695002f20b11876
FileHash-MD5 ce1c01137e51ae2d0caf3a4a44319bf0
FileHash-MD5 09984d531d55abce0bd1357f87e93b9c
FileHash-MD5 a4f33d89f8d0b0a2607065edbf91fb9f
FileHash-MD5 8f3dacc0bcb80a9a29cc5cd6482a1202
FileHash-MD5 e87bb48fe2765fabb695002f20b10873
FileHash-MD5 5a05d348be020d55bf69f109130baa2d
FileHash-MD5 7760f56ff3c593a832f5e59db63209d5
FileHash-MD5 e4c99cd6346d2f1d97b328c20713b3ab
FileHash-MD5 21cac236ae439548546d5ac92b83c5e5
FileHash-MD5 f71e0a02205b6e6b7ed5a35ada232c8e
FileHash-MD5 b8b4eecdf140e57dad6d2071e6a82852
FileHash-MD5 129a057445edf42315c6d626c852fd2f
FileHash-MD5 b42eb225aa70bd4101c03e2ea4208adc
FileHash-MD5 e4c99cd6346d2f1d97b328c20713a4c3
FileHash-MD5 a9686117e2f7634c819106e84a016691
FileHash-MD5 b1ddb9eb6ecca93c771d7232f75d12f5
FileHash-MD5 6aed05c3955eda9d99cec05910be8b29
FileHash-MD5 a9686117e2f7634c819106e84a003e54
hostname station.trustar.co
URL https://station.trustar.co/constellation/reports/f924e117-c075-4dca-a709-56897cf98c3d
domain fearlesslyhuman.org
domain tedxns.com
domain easyco.club
domain sarymar.com
domain foods-pro.com
domain benreat.com
domain planlamaison.com
domain tattooprestige.com
domain teamchuan.com
domain c1oudflare.com
domain 123-gmbh.de
domain masternoticial.me
domain webmasterx.me
FileHash-SHA256 4c5f7e8d6a5776547f0f0328fad7a5fd845eb06b1c6106f95f01a81f37fdc4b9
FileHash-SHA256 01afefdb808d1309234340b2c894128a83c1b8c023195311ea6f5123f3aae3f1
IPv4 13.85.68.166
IPv4 13.36.229.81
A tranquilidade de quem é expert no que faz! A SafeTech atua desde 2008 no mercado, auxiliando e maximizando as empresas a terem mais resultados e se destacarem, justamente por cuidar da área de TI. Então, nada de se preocupar com invasões, mal funcionamento tecnológico, documentos perdidos e adequações da LGPD. Conte conosco para cuidar da parte que você não conhece. Entre em contato pelos telefones (62) 3070-5841 ou (62) 9 9251-6355 ou (62) 9 9207-2992, pelos e-mails comercial@safe-tech.in ou wellington@safe-tech.in.
Fonte: blockbit.com/pt/blog
Link:https://www.blockbit.com/pt/blog/iocs-de-familia-de-ransomware-ramsomexx-e-consolidado-por-engenheiros-do-blockbit-lab/