Malware BabyLockerKZ muda foco e cresce no Brasil e na América Latina
Segundo Cisco Talos, variação do malware MedusaLocker tem motivações financeiras e quase dobrou volume de ataques por mês desde 2023
Um levantamento divulgado pela Cisco Talos – unidade de inteligência da Cisco – em novembro cita a descoberta de uma variante do ransomware MedusaLocker. Conhecido como “BabyLockerKZ”, o malware tem motivações financeiras e registrou aumento significativo no número de ataques na Europa entre o fim de 2022 e o início de 2023.
Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou. Os cibercriminosos mudaram o foco dos ataques para países da América Latina, como México, Brasil, Argentina e Colômbia.
O levantamento da Cisco Talos aponta que os ataques mantiveram volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.
Leia também: MediaTek estima chegada do Wi-Fi 8 para 2028
Segundo a empresa, o malware tem comprometido corporações de forma consistente. Foram mais de 100 vítimas por mês desde 2022. Para o Cisco Talos, isso revela a natureza profissional e agressiva dos ataques.
Característica do malware
Segundo o estudo, a variante é compilada com caminho PDB que tem a presença da palavra “paid_memes”. O “BabyLockerKZ” tem diferenças significativas se comparadas à versão clássica do “MedusaLocker”, entre elas modificações na execução automática e utilização de chaves adicionais armazenadas no registro. Esse fator, diz a Cisco talos, reforça o profissionalismo e a precisão dos cibercriminosos.
Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos o malware é puramente financeiro. O invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins).
O estudo destaca que o ataque responsável pela implantação do malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário “Music”, “Pictures” ou “Documents” de sistemas comprometidos para armazenar os mecanismos de ataque.
Mais sobre o malware e o estudo completo da Cisco Talos podem ser vistos, em inglês, nesse link.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
