Atacantes Cibernéticos Usam Imitação do Royal Mail para Disseminar Ransomware

Na quarta-feira, pesquisadores da Proofpoint publicaram um relatório revelando uma campanha cibernética que se passa pelo serviço postal britânico, Royal Mail, para distribuir o ransomware Prince.

Esta variante de ransomware, que está disponível abertamente no GitHub, acompanha uma isenção de responsabilidade que afirma ser destinada exclusivamente para fins educacionais. No entanto, ela foi armada em um ataque direcionado que afeta organizações tanto no Reino Unido quanto nos EUA.

O ataque do ransomware Prince começou com os invasores se passando pelo Royal Mail, utilizando formulários de contato públicos nos sites das organizações alvo para enviar e-mails enganosos. Esses e-mails continham um PDF que levava a um arquivo ZIP hospedado no Dropbox, atraindo as vítimas para baixá-lo.

Dentro do arquivo ZIP havia um segundo ZIP protegido por senha, juntamente com um arquivo de texto divulgando a senha, o que criou uma falsa sensação de segurança para as vítimas.

Uma vez aberto, um arquivo de atalho executou um código JavaScript ofuscado que criou vários arquivos no diretório temporário do sistema. Este código utilizou scripts PowerShell para contornar medidas de segurança e estabelecer persistência, rodando a cada 20 minutos enquanto o computador estava ocioso.

Quando o ransomware foi executado, ele criptografou os arquivos das vítimas com uma extensão “.womp” e exibiu uma falsa tela de atualização do Windows para obscurecer sua atividade maliciosa.

Uma nota de resgate na área de trabalho exigia o pagamento de 0,007 Bitcoins (cerca de $400) para descriptografia. No entanto, a análise revelou que o ransomware não tinha mecanismo de descriptografia ou capacidade de exfiltração de dados, sugerindo que foi projetado para destruição em vez de lucro.

Crucialmente, não existem mecanismos de descriptografia ou capacidades para exfiltração de dados nesta campanha, tornando-a mais destrutiva do que o ransomware típico. A falta de identificadores únicos no código do ransomware sugere que mesmo que as vítimas paguem o resgate, não há garantia de recuperação de arquivos.

A Proofpoint não atribuiu esta atividade maliciosa a nenhum ator de ameaça específico. A natureza de código aberto do ransomware Prince permite que vários atores o modifiquem e o implantem livremente. O criador, conhecido como SecDbg, oferece abertamente modificações para burlar medidas de segurança, complicando ainda mais os esforços de atribuição.

Este incidente ressalta a evolução do cenário de ameaças de ransomware. Embora tais ataques geralmente não se originem diretamente de e-mails, o uso de formulários de contato como método de entrega reflete uma tendência mais ampla.

Isso é particularmente preocupante, pois serviços postais como Royal Mail, UPS e FedEx são regularmente falsificados por atores mal-intencionados. Os clientes frequentemente recebem ligações telefônicas fraudulentas, mensagens de texto e e-mails que parecem ser comunicações oficiais, mas na verdade são golpes, conforme observado pelo The Record.

Para ajudar a combater esse problema, o Royal Mail oferece uma lista útil de golpes comuns que exploram sua marca.

As organizações são incentivadas a treinar seus funcionários para reconhecer comunicações suspeitas e a relatar quaisquer anomalias para as equipes internas de segurança. À medida que as ameaças cibernéticas se tornam cada vez mais sofisticadas, a vigilância e a educação são fundamentais para prevenir possíveis violações.