Desenvolvido por um grupo de cibercriminosos brasileiros, a praga chamada Trojan-Ransom.Win32.Xpan foi identificada após ter sido utilizada em ataques contra empresas e hospitais, cifrando arquivos por meio da extensão “.___xratteamLucked”. A descoberta foi feita pela equipe da Kaspersky Lab, que decifrou o ransomware XPan, permitindo que um hospital, vítima do ataque desse grupo, pudesse recuperar seus arquivos.

O grupo por atrás do ataque se identifica com os nomes “TeamXRat” ou “CorporaçãoXRat”. A partir do trojan ransom Xpan, os especialistas concluíram que o grupo de criminosos evoluiu a qualidade do código para um esquema criptográfico mais complexo.

Os cibercriminosos brasileiros estão diversificando seus “negócios”, com novas famílias de ransomware desenvolvidas do zero, abandonando versões antigas que usavam XOR e adotando algoritmos criptográficos novos e mais robustos. De acordo com a empresa especialista em cibersegurança, esse é um sinal claro que começaram a explorar novas áreas e alvos, em ataques diferentes dos que temos presenciado.

Como funciona o ataque

A mensagem de resgate é em português e não informa quanto a vítima terá de pagar para obter seus arquivos, nem o método de pagamento - geralmente, Bitcoins. Neste caso, o pedido de resgate faz com que as vítimas entrem em contato por e-mail usando contas configuradas em serviços anônimos de e-mail, como Mail2Tor e Email.tg, em endereços como corporacaoxrat@mail2tor.com, xRatTeam@mail2tor.com e xratteam@email.tg, informando a chave pública usada para cifrar os arquivos.

Assim que as vítimas entram em contato com o grupo criminoso, eles começam a negociação do pagamento, respondendo em português e pedindo como pagamento 1 bitcoin (cerca de R$ 2 mil) para decifrar os arquivos. Também apresentam o pagamento como sendo uma “doação” porque eles “exploraram falhas no seu sistema e fizeram o ataque para que se melhore a segurança”. Ainda oferecem decifrar um arquivo de graça.

Uma vez que os alvos são empresas, o grupo remove a configuração de proxies usados nos ambientes corporativos. Essa técnica é usada para dar conexão direta à internet às vítimas, para que possam enviar a mensagem de e-mail para os criminosos, ou acessar sites que vendem bitcoins.

Após concluir sua execução, o ransomware exibe a seguinte mensagem de resgate no sistema infectado: “Todos os seus arquivos foram cifrados com criptografia RSA 2048 bits”

A Kaspersky Lab acredita que os ataques de ransomware ultrapassarão em número e impacto os trojans bancários. O ransomware traz vantagens se comparado aos trojans de roubo financeiro direto: monetização direta, usando um sistema de pagamentos anônimo (Bitcoin) e custo por vítima relativamente baixo.

A empresa também alerta que, caso seja vítima desse ataque, não deve pagar o resgate. O indicado é procurar um suporte especializado.