Ransomware Critoni à venda por $3000 em fórum underground, usa a Rede de Anonimato Tor para se comunicar com seu servidor C & C

Um novo Ransomware chamado Critoni está sendo vendido nos fóruns underground. A especialidade deste ransomware é que ele usa a rede Tor para se comunicar com o servidor remoto de comando e controle. Isso anonimiza a comunicação e, portanto, torna-a indetectável, já que os comandos do ransomware passam por várias camadas da configuração do anonimato Tor antes de alcançar o servidor de Comando e Controle.

Para os não iniciados, um Ransomware é um malware que, uma vez infectado em seu computador, criptografa vários tipos de arquivos, documentos, vídeos e imagens com uma chave criptografada e, em seguida, pede que você pague um resgate pelas chaves para descriptografar seus dados.

A postagem oferecendo a venda do Critoni foi descoberta pelo pesquisador de segurança francês Kafeine, que diz que o anúncio está ativo desde meados de junho de 2014. Ele afirmou que o preço de venda desse malware é de $3,000.00 / €2,220.00 / Rs.180,000.00.

Esse malware em particular é chamado de CTB-Locker (Curve-Tor-Bitcoin Locker) pelos cibercriminosos e nomeado Critoni.A pela Microsoft. Critoni utiliza criptografia persistente baseada em curvas elípticas, o que tornaria a descriptografia de arquivos impossível; as chaves são geradas aleatoriamente e não há risco de duas chaves serem iguais. Se infectado, o resgate deve ser pago em bitcoins para evitar o rastreamento da transação. O ransomware também fornece um tutorial sobre como obter bitcoins através do mercado, caso a pessoa não possua nenhum. Na verdade, se a vítima for nova na Rede de Anonimato Tor, ele até oferece tutoriais sobre como baixar o Tor.

De acordo com Kafeine, a postagem no fórum underground também mencionou que o processo de criptografia poderia ser realizado na falta de conexão com a Internet, mas como ele poderia se conectar ao seu servidor C & C nesse caso é uma questão. Kafeine também relata que o Critoni foi visto sendo entregue pelo kit de exploração Angler, mas outras formas de ataque também foram detectadas na natureza.

Outro atributo do Critoni é que, uma vez que o período de tempo definido para o pagamento do resgate expira, o programa de bloqueio de arquivos se autoexclui automaticamente e as vítimas recebem outra chance de recuperar os dados. Essas instruções são fornecidas em um arquivo TXT localizado na pasta Documentos.

De acordo com especialistas em segurança da Kaspersky, este é o primeiro criptomalware a usar a rede Tor para anonimizar sua comunicação com o servidor de comando e controle. Esse tipo de proteção geralmente foi visto em trojans bancários como o malware Zues.

Em um relatório no

Threatpost

, Fedor Sinitsyn da Kaspersky disse: “O código executável para estabelecer a conexão Tor está embutido no corpo do malware. Anteriormente, para malware desse tipo, isso geralmente era realizado com um arquivo Tor.exe. Embutir funções Tor no corpo do malware é uma tarefa mais difícil do ponto de vista da programação, mas tem algumas vantagens, pois ajuda a evitar a detecção e é mais eficiente em geral.”

Usar a rede Tor reduz o risco de detecção e facilita para os cibercriminosos mintarem bitcoins através das vítimas desavisadas do Critoni.A