Em 31 de maio de 2019, os criminosos cibernéticos por trás do ransomware GandCrab fizeram algo incomum no mundo do malware. Eles anunciaram que estavam encerrando as operações e, potencialmente, deixando milhões de dólares na mesa.
"Todas as coisas boas chegam ao fim", escreveram eles em uma postagem de autocongratulação que apareceu em um notório fórum de crimes cibernéticos. Desde o lançamento em janeiro de 2018, os autores do GandCrab afirmaram ter arrecadado mais de US$ 2 bilhões em pagamentos ilícitos de resgate e que era hora "de uma merecida aposentadoria".
"Conseguimos sacar esse dinheiro com sucesso e legalizá-lo em várias esferas de negócios brancos, tanto na vida real quanto na Internet", continuou a postagem. "Provamos que, ao praticar atos malignos, a retribuição não vem."
Os parceiros afiliados, aqueles que ajudaram a espalhar o ransomware para obter uma parte dos lucros, foram incentivados a encerrar as operações, enquanto as vítimas foram instruídas a pagar agora ou perder seus dados criptografados para sempre.
A postagem terminou com um agradecimento conciso a todos da comunidade de afiliados por "todo o trabalho árduo".
Apesar de ser uma humilde e divertida ostentação, várias perguntas permanecem sem resposta. Os criadores do GandCrab realmente ganharam tanto dinheiro quanto disseram que ganharam? Quem são esses caras e eles estão realmente se aposentando? Mais importante ainda, o ransomware GandCrab ainda é uma ameaça para os consumidores?
Neste artigo, tentaremos responder a todas essas perguntas persistentes, forneceremos recursos para as vítimas e faremos um epílogo da história do GandCrab.f
O que é o GandCrab?
Observado pela primeira vez em janeiro de 2018, o ransomware GandCrab é um tipo de malware que criptografa os arquivos das vítimas e exige o pagamento de resgate para recuperar o acesso aos seus dados. O GandCrab tem como alvo consumidores e empresas com PCs que executam o Microsoft Windows.
Parecendo uma doença sexualmente transmissível, pode-se pensar que um nome como "GandCrab" tem algo a ver com a natureza infecciosa do ransomware e sua propensão a se espalhar pelas redes de negócios. De acordo com a ZDNet, no entanto, o nome do GandCrab pode ser derivado de um de seus criadores, que atende pelo nome on-line de "Crab" ou "Gandcrab".
O GandCrab não infecta máquinas na Rússia ou na antiga União Soviética - um forte indicador de que o autor ou autores estão baseados na região. Pouco mais se sabe sobre a equipe do GandCrab.
O GandCrab segue um modelo de negócios de marketing de afiliados, também conhecido como Ransomware-as-a-Service (RaaS), no qual os criminosos cibernéticos de baixo nível fazem o trabalho pesado de encontrar novas vítimas, enquanto os autores da ameaça ficam livres para mexer e melhorar sua criação.
Empresas legítimas empregam modelos de afiliados o tempo todo, principalmente a Amazon. Por exemplo, digamos que você tenha um blog em que analisa produtos eletrônicos - como fones de ouvido, smartphones, laptops, computadores etc. Cada avaliação inclui um link exclusivo que permite que os visitantes comprem o item em destaque na Amazon. Em troca de enviar o cliente para a Amazon, você recebe uma porcentagem do purchase price.
No caso do GandCrab, os autores da ameaça cedem sua tecnologia a outros criminosos cibernéticos empreendedores (ou seja, afiliados). A partir daí, cabe aos afiliados descobrir como encontrarão novos clientes (ou seja, vítimas). Os resgates pagos são divididos entre o afiliado e a equipe do GandCrab em 60/40 ou até 70/30 para os principais afiliados.
O jornalista de segurança cibernética Brian Krebs relata que um dos principais ganhou US$ 125.000 em comissões no decorrer de um mês.
Usando o modelo de afiliados, os criminosos com conhecimento técnico limitado podem entrar em ação com o ransomware. E com criminosos de baixo nível responsáveis por encontrar e infectar máquinas, os criadores do GandCrab podem se concentrar em revisar seu software, adicionar novos recursos e melhorar sua tecnologia de criptografia. Ao todo, existem cinco versões diferentes do GandCrab.
Após a infecção, notas de resgate são colocadas de forma proeminente no computador da vítima, direcionando-a para um site no Dark Web (a parte oculta da Web que você precisa de um navegador especial para ver).
Ao acessar a versão em inglês do site, as vítimas recebem a mensagem com erros de digitação: "WELCOME! LAMENTAMOS, MAS TODOS OS SEUS ARQUIVOS FORAM INFECTADOS!"
Versões posteriores do site de resgate apresentam o Sr. Krabs do programa infantil de animação "Bob Esponja Calça Quadrada". Aparentemente, os criminosos cibernéticos não estão muito preocupados com violações de direitos autorais.
Para acalmar qualquer receio de pagar o resgate, o GandCrab permite que as vítimas descriptografem um arquivo de sua escolha gratuitamente.
Os pagamentos do GandCrab são feitos por meio de uma criptomoeda obscura chamada Dash, valorizadapelos criminosos cibernéticos por seu foco extremo na privacidade. Os pedidos de resgate são definidos pelo afiliado, mas geralmente ficam entre US$ 600 e US$ 600.000. Após o pagamento, as vítimas podem baixar imediatamente o decodificador do GandCrab e recuperar o acesso aos seus arquivos.
Se as vítimas tiverem qualquer problema com o pagamento do resgate ou com o download da ferramenta de descriptografia, o GandCrab oferece suporte por bate-papo on-line "gratuito" 24 horas por dia, 7 dias por semana.
"O GandCrab segue um modelo de negócios de marketing de afiliados, também conhecido como Ransomware-as-a-Service (RaaS), no qual os criminosos cibernéticos de baixo nível fazem o trabalho pesado de encontrar novas vítimas, enquanto os autores da ameaça ficam livres para mexer e melhorar sua criação."
Qual é o histórico do GandCrab?
Você seria negligente se pensasse que o ransomware é uma invenção recente. Na verdade, todas as formas de ransomware, inclusive o GandCrab, seguiram um modelo básico estabelecido há trinta anos por uma forma antiga de vírus de computador.
O primeiro proto-ransomware chegou em 1989, literalmente chegando às caixas de correio das vítimas. Conhecido como o vírus de computador da AIDS, o AIDS se espalhou por meio de um disquete de 5,25" enviado às vítimas por correio tradicional. O disquete tinha o rótulo "Informações sobre a AIDS" e incluía uma breve pesquisa criada para medir o risco de um indivíduo contrair o vírus da AIDS (o biológico).
O carregamento da pesquisa iniciava o vírus, após o que o vírus ficava adormecido durante as próximas 89 inicializações. Ao iniciar o computador pela 90ª vez, as vítimas se deparavam com uma notificação na tela solicitando o pagamento do "aluguel do software". Se as vítimas tentassem acessar seus arquivos, descobririam que todos os nomes de seus arquivos haviam sido embaralhados.
Os pagamentos de resgate deveriam ser enviados para uma caixa postal no Panamá e, em troca, as vítimas recebiam um "pacote de software de renovação" que reverteria a quase criptografia.
O método de operação do GandCrab e de outras ameaças modernas de ransomware permanece relativamente inalterado desde os dias do vírus de computador da AIDS. A única diferença é que os criminosos cibernéticos de hoje têm um vasto arsenal de tecnologias avançadas para atingir, infectar e vitimar os consumidores.
Quando foi observado pela primeira vez em janeiro de 2018, o GandCrab se espalhou por meio de anúncios maliciosos (também conhecidos como malvertising) e pop-ups falsos exibidos por sites comprometidos. Ao entrar em um site malicioso, as vítimas recebiam um alerta na tela solicitando o download de uma fonte ausente. Ao fazer isso, o ransomware era instalado.
Ao mesmo tempo em que a campanha de infecção por fontes, o GandCrab também se espalhou por meio de anexos de e-mail carregados de malware (também conhecidos como malspam) enviados por uma botnet de computadores invadidos (as botnets também são usadas para ataques DDoS ). Em um exemplo clássico de truque de engenharia social, esses e-mails apresentavam a linha de assunto "Unpaid invoice #XXX". Motivadas por medo, curiosidade ou ganância, as vítimas abriam o e-mail e a "fatura" anexa, carregada de malware.
No entanto, durante a maior parte de sua curta, porém destrutiva, execução, o GandCrab normalmente se espalha de um computador para outro por meio de algo conhecido como kit de exploração. As explorações são uma forma de ataque cibernético que aproveita os pontos fracos ou as vulnerabilidades de um sistema-alvo para obter acesso não autorizado a esse sistema. Um kit de exploração é um pacote plug-and-play de várias tecnologias projetadas para tirar proveito de uma ou mais explorações.
A equipe do Malwarebytes Labs relatou pelo menos quatro kits de exploração diferentes sendo usados para espalhar o GandCrab, sobre os quais você pode ler:
- Ransomware GandCrab distribuído pelos kits de exploração RIG e GrandSoft (atualizado)
- Vidar e GandCrab: combinação de stealer e ransomware observada na natureza
- O kit de exploração Magnitude muda para o ransomware GandCrab
Em fevereiro de 2018, um mês após o GandCrab ter sido detectado pela primeira vez, a empresa de segurança cibernética Bitdefender lançou uma ferramenta gratuita de descriptografia do GandCrab. Isso levou os autores do GandCrab a lançar uma nova versão do seu ransomware com uma nova tecnologia de criptografia. Atualmente, a versão mais recente da ferramenta de descriptografia funciona nas versões 1, 4, 5.01 e 5.2 do GandCrab. Até o momento, não há nenhuma ferramenta de descriptografia gratuita disponível para as versões 2 e 3 do GandCrab.
Em outubro de 2018, uma vítima da Guerra Civil Síria chamou os criadores do GandCrab de "sem coração" por criptografar as fotos de seus filhos mortos. Em resposta, a equipe do GandCrab liberou a chave de descriptografia para todas as vítimas do GandCrab localizadas na Síria e adicionou a Síria à lista de países não visados pelo ransomware GandCrab.
Em janeiro de 2019, os afiliados foram vistos pela primeira vez usando o que é conhecido como um ataque de protocolo de área de trabalho remota (RDP). Com esse tipo de ataque, os criminosos examinam uma determinada rede em busca de sistemas que estejam configurados para acesso remoto, ou seja, um sistema no qual um usuário ou administrador possa fazer login e controlar de outro local. Quando os invasores encontrarem um sistema configurado para acesso remoto, eles tentarão adivinhar as credenciais de login usando uma lista de nomes de usuário e senhas comuns (também conhecido como ataque de força bruta ou de dicionário).
Ao mesmo tempo, os afiliados do GandCrab se aproveitaram de uma longa e severa temporada de gripe (21 semanas), espalhando o ransomware por meio de e-mails de phishing supostamente dos Centros de Controle e Prevenção de Doenças (CDC), com o assunto "Aviso de pandemia de gripe". A abertura do documento do Word anexado, carregado de malware, iniciava a infecção pelo ransomware.
Graças ao seu exército de afiliados, à metodologia de ataque diversificada e às revisões regulares de código, o GandCrab rapidamente se tornou a detecção de ransomware mais comum entre os alvos de empresas e consumidores em 2018, conforme relatado norelatório Malwarebytes Labs State of Malware.
Apesar de seu sucesso, ou talvez por causa dele, o GandCrab encerrou suas atividades em maio de 2019, um ano e meio após seu lançamento. Os pesquisadores de segurança cibernética apresentaram várias teorias sobre o motivo.
O GandCrab não foi tão bem-sucedido quanto seus criadores imaginavam. Não sabemos realmente quanto dinheiro a equipe do GandCrab ganhou. Sua alegação de ganhos de US$ 2 bilhões pode estar inflada e aqui está o motivo: Pesquisadores de segurança cibernética desenvolveram ferramentas gratuitas de descriptografia do GandCrab para versões anteriores do ransomware. Apenas duas semanas após a equipe do GandCrab ter anunciado que estava se retirando, os pesquisadores da Bitdefender lançaram uma ferramenta de descriptografia final capaz de descriptografar a versão mais recente do GandCrab. Com a maior conscientização do público sobre as ferramentas gratuitas de descriptografia, cada vez mais vítimas em potencial evitam pagar qualquer possível resgate.
A equipe do GandCrab continuará a criar ransomware ou outro malware com um nome diferente. Ao anunciar que encerrou suas operações, a equipe do GandCrab está livre para atormentar o mundo com novas ameaças desonestas, fora do olhar atento dos pesquisadores de segurança cibernética e das autoridades policiais. Com certeza, os pesquisadores de segurança cibernética do site Malwarebytes informaram sobre uma nova variedade de ransomware que tinha uma semelhança evidente com o GandCrab.
Conhecido como Sodinokibi (também conhecido como Sodin, também conhecido como REvil), esse ransomware foi descoberto na natureza quase dois meses depois que o GandCrab desistiu e os pesquisadores imediatamente fizeram comparações com o ransomware extinto. Até o momento, não há nenhuma prova que implique a equipe do GandCrab como os vilões por trás do Sodinokibi, mas é uma aposta segura.
Para começar, o Sodinokibi segue o mesmo modelo de ransomware como serviço: a equipe do GandCrab é proprietária e oferece suporte ao software, permitindo que qualquer possível criminoso cibernético o utilize em troca de uma parte dos lucros.
O Sodinokibi segue o mesmo processo de atualização iterativo do GandCrab. Até o momento, houve seis versões do Sodinokibi.
O Sodinokibi emprega alguns dos mesmos vetores de infecção, ou seja, kits de exploração e anexos de e-mail maliciosos. Em uma nova reviravolta, no entanto, os criminosos por trás do Sodinokibi começaram a usar provedores de serviços gerenciados (MSP) para espalhar infecções. Em agosto de 2019, centenas de consultórios odontológicos em todo o país descobriram que não podiam mais acessar os registros de seus pacientes. Os invasores usaram um MSP comprometido, neste caso uma empresa de software de registros médicos, para implantar o ransomware Sodinokibi em consultórios odontológicos que usavam o software de manutenção de registros.
Por fim, a nota de resgate e o site de pagamento do Sodinokibi têm mais do que uma pequena semelhança com os do GandCrab.
Como se proteger do GandCrab
Embora a equipe de Ciências de Dados do Malwarebytes informe que as detecções do GandCrab estão em declínio acentuado, ainda temos que enfrentar o Sodinokibi e outras cepas de ransomware. Dito isso, veja a seguir como se proteger do GandCrab e de outros ransomwares.
- Faça backup de seus arquivos. Com backups regulares dos dados, uma infecção por ransomware se torna um pequeno inconveniente, embora irritante. Simplesmente limpe e restaure seu sistema e siga em frente com sua vida
- Desconfie de anexos e links de e-mails. Se você receber um e-mail de um amigo, membro da família ou colega de trabalho e ele parecer estranho, pense duas vezes. Se o e-mail for de uma empresa com a qual você faz negócios, tente navegar até o site da empresa ou, se disponível, use o aplicativo.
- Faça patches e atualizações regularmente. Manter seu sistema atualizado impedirá que os invasores se aproveitem de explorações que podem ser usadas para obter acesso não autorizado ao seu computador. As explorações, como você deve se lembrar, são o principal método pelo qual o GandCrab infecta os sistemas-alvo. Da mesma forma, se você tiver um software antigo e desatualizado em seu computador que não esteja mais usando, exclua-o.
- Limite o acesso remoto. A melhor maneira de se proteger contra um ataque de RDP (Remote Desktop Protocol) é limitar o acesso remoto. Pergunte a si mesmo: esse sistema realmente precisa ser acessado remotamente? Se a resposta for sim, pelo menos limite o acesso aos usuários que realmente precisam dele. Melhor ainda, implemente uma rede privada virtual (VPN) para todos os usuários remotos, pois isso anula qualquer possibilidade de um ataque RDP.
- Use senhas fortes e não reutilize senhas entre sites. Caso um sistema precise ser acessado remotamente, certifique-se de usar uma senha forte com autenticação multifator. É claro que lembrar senhas exclusivas para todos os vários sites e aplicativos que você usa é uma tarefa difícil, se não impossível. Felizmente, um gerenciador de senhas pode fazer isso por você.
- Use software de segurança cibernética. Por exemplo, o Malwarebytes Premium para Windows bloqueia cavalos de Troia, vírus, downloads mal-intencionados, links ruins e sites falsos para que o ransomware, como o GandCrab, e outras infecções por malware nunca se enraízem em seu sistema.
Como remover o GandCrab
Se você já foi vítima do GandCrab, há uma boa chance de não precisar pagar o resgate. Em vez disso, siga estas etapas para remover o GandCrab de seu computador.
- Mostre as extensões de arquivo em Windows. Por padrão, o Microsoft Windows oculta as extensões de arquivo (como .exe e .doc) e você precisará ver essas extensões antes de passar para a segunda etapa. Em resumo, abra o File Explorer, clique na guia Exibir e marque a caixa Extensões de nome de arquivo.
- Determinar a versão do GandCrab. Agora que você pode ver as extensões de arquivo, pode descobrir qual versão do GandCrab você tem verificando as extensões dos arquivos criptografados.
- A versão 1 do GandCrab fornece a extensão .gdcb.
- O GandCrab versão 2 e 3 fornece a extensão .crab.
- A versão 4 do GandCrab fornece a extensão .krab.
- O GandCrab versão 5 fornece uma extensão aleatória de 5 letras.