IOC’s de família de ransomware RansomExx é consolidado por engenheiros do Blockbit LAB.

Principais tendências e ameaças para a Cibersegurança em 2022
3 de junho de 2022
O que é ransomware? Conheça o tipo de ataque virtual que ocupou as manchetes mundiais
3 de junho de 2022
Show all

IOC’s de família de ransomware RansomExx é consolidado por engenheiros do Blockbit LAB.

Na última quinta-feira (19), o grupo cibercriminoso RansomExx alegou autoria sobre o sequestro dos dados de uma grande empresa varejista brasileira. Além de causar a paralisação total do e-Commerce e impossibilitar as vendas feitas nos cartões de bandeira de domínio próprio nas lojas físicas, os criminosos exigiram um resgate que pode ultrapassar a quantia de US$ 1 bilhão.

Apesar do ataque ser agressivo e causar inúmeros prejuízos para a companhia, uma vez que, após mais de 24h do início da ação, o sistema ainda está suspenso. O grupo cibercriminoso diz não estar interessado em divulgar os dados coletados, o único objetivo da ação, é arrecadar a quantia em dinheiro solicitada.

Histórico de taques no Brasil 

Esta não é a primeira vez que o RansomExx invade os sistemas de empresas brasileiras, em novembro do ano passado, o grupo criminoso criptografou os servidores do STJ (Supremo Tribunal de Justiça) e causou a suspensão de sessões por aproximadamente uma semana. A Embraer, uma das maiores fabricantes da aviação mundial, também já foi alvo do grupo.

Como o ataque funciona: 

Segundo os especialistas do Blockbit LAB, que decodificaram o funcionamento deste ransomware, este tipo de ciberataques funciona via a intrusão de e-mails falsos ou atinge vulnerabilidades do sistema Linux/VMWare ESXi.

Feito em duas etapas, o ataque chega ao alvo desejado via phishing. Ao abrir o conteúdo, é iniciado um download que, dá início à infecção do sistema. Em seguida, é gerado um payload via endereço de URL, com um arquivo de extensão .png contendo o ransomware. Um exemplo: http://13.xxx.68.xxx/pm13/pm13.png

Após a conclusão destas duas etapas, os cibercriminoso conseguem acesso irrestrito ao sistema infectado, mesmo que ele conte com tecnologia de criptografia.

Ainda de acordo com os especialistas do Blockbit LAB, após consolidarem a lista de IOC’s RansomExx, foi constatado que os usuários da plataforma 2.0 estão totalmente seguros contra este tipo de ataque.

Lista de IOC’s RansomExx: 

IPv4 173.208.164.34

IPv4 192.243.102.227

IPv4 162.248.245.71

IPv4 185.206.144.40

IPv4 185.212.47.21

IPv4 64.44.51.101

IPv4 23.106.125.154

IPv4 144.217.174.184

IPv4 216.189.145.132

IPv4 192.254.66.108

IPv4 13.85.68.166

IPv4 13.36.229.81

FileHash-SHA256 64C51351AAFB4CD339934A78D064847BDD833B963EAFBADE86EB51AC2C1677F4

FileHash-SHA256 78147D3BE7DC8CF7F631DE59AB7797679ABA167F82655BCAE2C1B70F1FAFC13D

FileHash-SHA256 CB408D45762A628872FA782109E8FCFC3A5BF456074B007DE21E9331BB3C5849

FileHash-SHA256 ED2B1F855FC7A39A7CF2CFBFD5A10707801BA313BAB9C5D748FCD3703AAD66FC

FileHash-SHA256 D85F4448D5AEA240D68C07BEC6F363986D71940C3C1A3E49053D55FD1741C41E

FileHash-SHA256 F543C477BA67AFD4FB2AE111B22C8D596BF8E61E13A627F6A972FAC4762A70C1

FileHash-SHA256 E55FCF9315C52D2ABD3431F7E4BB82CBD2B0D24D124E0E1A27B951030B2DE162

FileHash-SHA256 4CAE449450C07B7AA74314173C7B00D409EABFE22B86859F3B3ACEDD66010458

FileHash-SHA1 30391fe6c4ba0b13050863089249c5a7c8f162e2

FileHash-SHA1 58c581a7f819cf326cadc3db4f43ffcd8203ee5e

FileHash-SHA1 6b5e5a742a8b98b9a87cf317ff694797d49d756a

FileHash-SHA1 035c138f3e73b402a48c94e2d97491931b1a0038

FileHash-SHA1 33e792ebbd5b4b75b84de2ddf4d47599339f2896

FileHash-SHA1 6a0a7e3a21888b87fde3323e0dc4fc085e71a8b7

FileHash-SHA1 08574581b59387626aed58a824f3d84b2ea225c9

FileHash-SHA1 d2716833296317323f7cce5691940ab0b58e36d7

FileHash-SHA1 5448e52acc4bfe16cebaef661ca19a913e189bd4

FileHash-SHA1 142b147c3b5597dead28d8ba91927ac0a960bf41

FileHash-SHA1 1bc3dce31fe1beb727cd449e6cec70578c5dcb55

FileHash-MD5 63e751462c47f95c89ab83df8d89a36a

FileHash-MD5 e87bb48fe2765fabb695002f20b110a5

FileHash-MD5 042f9c2ad916d859eed4875439c317dc

FileHash-MD5 d2265abffd6f3093177d7751cef85362

FileHash-MD5 5f94faa27dd26b1be8d62fff816e0d62

FileHash-MD5 8f3dacc0bcb80a9a29cc5cd6483492d0

FileHash-MD5 8e5375a9f1e45cd2200d6f3e2c093314

FileHash-MD5 e4c99cd6346d2f1d97b328c2071a4e12

FileHash-MD5 8e5375a9f1e45cd2200d6f3e2c091532

FileHash-MD5 4f0374da16a4469b553a92cb89a26836

FileHash-MD5 0688edb9292aad7febf108238fac5c64

FileHash-MD5 001519e481baed03b4d92a0848024f80

FileHash-MD5 129a057445edf42315c6d626c852f9af

FileHash-MD5 b5486edc903eda5b506e7347487477c2

FileHash-MD5 5f94faa27dd26b1be8d62fff816e1871

FileHash-MD5 1a546d8713bffdef3aa74b7f01f3a25e

FileHash-MD5 5a05d348be020d55bf69f109130bb283

FileHash-MD5 fe571f22a4d0745a2028e52960ffbaf3

FileHash-MD5 e57c25f7969f03dc47ec6ea04d2fe9d9

FileHash-MD5 e494c1420a2e1bf2f96ee7698f87d468

FileHash-MD5 6fc225927e1830f7c5e692197e4b98aa

FileHash-MD5 7ee46373a0a370ee9657aebc9ef5448a

FileHash-MD5 2b0ae63aa23b37abd6e51c5954d1be21

FileHash-MD5 cf73aa73404a5c9cf0ec50fdd0d7e9ce

FileHash-MD5 a8abb3ccbb0a97b127cc27fbf5d06e06

FileHash-MD5 09984d531d55abce0bd1357f87e5044f

FileHash-MD5 437e30fdb138801e17543edd395a783b

FileHash-MD5 129a057445edf42315c6d626c85dba3b

FileHash-MD5 e87bb48fe2765fabb695002f20b11876

FileHash-MD5 ce1c01137e51ae2d0caf3a4a44319bf0

FileHash-MD5 09984d531d55abce0bd1357f87e93b9c

FileHash-MD5 a4f33d89f8d0b0a2607065edbf91fb9f

FileHash-MD5 8f3dacc0bcb80a9a29cc5cd6482a1202

FileHash-MD5 e87bb48fe2765fabb695002f20b10873

FileHash-MD5 5a05d348be020d55bf69f109130baa2d

FileHash-MD5 7760f56ff3c593a832f5e59db63209d5

FileHash-MD5 e4c99cd6346d2f1d97b328c20713b3ab

FileHash-MD5 21cac236ae439548546d5ac92b83c5e5

FileHash-MD5 f71e0a02205b6e6b7ed5a35ada232c8e

FileHash-MD5 b8b4eecdf140e57dad6d2071e6a82852

FileHash-MD5 129a057445edf42315c6d626c852fd2f

FileHash-MD5 b42eb225aa70bd4101c03e2ea4208adc

FileHash-MD5 e4c99cd6346d2f1d97b328c20713a4c3

FileHash-MD5 a9686117e2f7634c819106e84a016691

FileHash-MD5 b1ddb9eb6ecca93c771d7232f75d12f5

FileHash-MD5 6aed05c3955eda9d99cec05910be8b29

FileHash-MD5 a9686117e2f7634c819106e84a003e54

hostname station.trustar.co

URL https://station.trustar.co/constellation/reports/f924e117-c075-4dca-a709-56897cf98c3d

domain fearlesslyhuman.org

domain tedxns.com

domain easyco.club

domain sarymar.com

domain foods-pro.com

domain benreat.com

domain planlamaison.com

domain tattooprestige.com

domain teamchuan.com

domain c1oudflare.com

domain 123-gmbh.de

domain masternoticial.me

domain webmasterx.me

FileHash-SHA256 4c5f7e8d6a5776547f0f0328fad7a5fd845eb06b1c6106f95f01a81f37fdc4b9

FileHash-SHA256 01afefdb808d1309234340b2c894128a83c1b8c023195311ea6f5123f3aae3f1

IPv4 13.85.68.166

IPv4 13.36.229.81

A tranquilidade de quem é expert no que faz! A SafeTech atua desde 2008 no mercado, auxiliando e maximizando as empresas a terem mais resultados e se destacarem, justamente por cuidar da área de TI. Então, nada de se preocupar com invasões, mal funcionamento tecnológico, documentos perdidos e adequações da LGPD. Conte conosco para cuidar da parte que você não conhece. Entre em contato pelos telefones (62) 3070-5841 ou (62) 9 9251-6355 ou (62) 9 9207-2992, pelos e-mails comercial@safe-tech.in ou wellington@safe-tech.in.

 

Fonte: blockbit.com/pt/blog
Link:https://www.blockbit.com/pt/blog/iocs-de-familia-de-ransomware-ramsomexx-e-consolidado-por-engenheiros-do-blockbit-lab/

Abrir chat
1
Fale com a SafeTech
Olá!
Como podemos te ajudar hoje?