ESET identifica os criadores do ransomware BitPaymer

A ESET América Latina, líder em detecção pró ativa de ameaças, revela que os criadores do trojan bancário Dridex também estão por atrás de outra família de malwares de alto perfil, um sofisticado recurso de rede chamado FriedEx, também conhecido como BitPaymer.

O Dridex apareceu pela primeira vez em 2014 como um bot (programa de computador cuja função é executar tarefas automatizadas pela internet) que foi rapidamente convertido em um dos mais importantes trojans do mercado. O desenvolvimento parece ser estável, com novas versões do bot sendo lançadas todas as semanas e incluindo pequenas correções e atualizações. A última grande atualização da versão 3 para a 4, lançada no início de 2017, ganhou atenção com a adoção de novas técnicas de propagação que procuram burlar soluções de segurança, ao introduzir uma nova exploração de zero-day no Pacote Microsoft Office, que ajudou a espalhar o trojan entre milhões de vítimas.

Por sua vez, o ransomware inicialmente chamado BitPaymer, foi descoberto no início de julho de 2017 por Michael Gillespie. Em agosto, foi novamente o centro das atenções e esteve nas manchetes depois de infectar hospitais do Serviço Nacional de Saúde (NHS, sigla em inglês) da Escócia. O FriedEx centra-se em empresas de alto perfil ao invés de usuários finais. O ransomware criptografa cada arquivo com uma chave, que também é criptografada e salva no arquivo .readme_txt correspondente.

“Em dezembro de 2017, paramos para observar de perto uma das amostras de FriedEx e quase instantaneamente percebemos a similaridade do código com relação ao Dridex. Intrigado com as descobertas iniciais, aprofundamos as amostras de FriedEx e descobrimos que ela usa as mesmas técnicas que o Dridex para esconder o máximo possível de informações sobre seu comportamento”, explica Camilo Gutierrez, diretor do laboratório de pesquisa da ESET América Latina.

A análise, desenvolvida pela ESET, revelou que as duas famílias de malwares foram criadas pelos mesmos desenvolvedores.

“Esta descoberta nos dá uma imagem mais clara das atividades do grupo – podemos ver que os desenvolvedores ainda estão ativos e atualizam constantemente o seu trojan bancário para manter o suporte das webinjects para as últimas versões do Chrome e para introduzir novos recursos, como o Atom Bombing, para tentar burlar soluções de segurança. Além disso, eles também seguem as últimas tendências de malware, criando seu próprio sistema de resgate”, conclui Gutierrez. “Quanto mais conhecemos os riscos aos quais estamos expostos, mais fácil será tomar as devidas precauções para proteger nossa informação”, completa.

A ESET lançou, no ano passado, uma ferramenta para identificar processos mal-intencionados que podem estar associados a ameaças e vinculados a motores de busca na web. A ferramenta é projetada para ajudar aqueles afetados por um incidente a descobrir potenciais ameaças bancárias, incluindo Dridex.

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança. Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com.br/ ou nos siga no LinkedIn, Facebook e Twitter.

Desde 2004, a ESET opera na América Latina, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.