A Cisco Talos, unidade de inteligência da Cisco, identificou uma variante do ransomware MedusaLocker, apelidada de “BabyLockerKZ”. Desenvolvido com motivações financeiras, o malware demonstrou um aumento significativo nos ataques na Europa entre o fim de 2022 e o início de 2023, antes de expandir seu alcance para a América Latina, atingindo países como México, Brasil, Argentina e Colômbia. Durante o segundo trimestre de 2023, o número mensal de ataques quase dobrou.
Estabilidade nos ataques até 2024
De acordo com a Cisco Talos, a variante manteve um volume constante de aproximadamente 200 endereços IP comprometidos mensalmente até o primeiro trimestre de 2024, quando houve uma leve redução. Segundo a Cisco, mais de 100 vítimas foram registradas por mês desde 2022, o que indica o grau de profissionalismo e a natureza agressiva da operação.
Características do malware BabyLockerKZ
O estudo destaca que uma das características do BabyLockerKZ é o caminho PDB que inclui a palavra “paid_memes”. Em comparação com a versão original do MedusaLocker, essa variante possui diferenças, como modificações na execução automática e chaves adicionais armazenadas no registro do sistema, evidenciando a precisão e o foco financeiro dos cibercriminosos.
“A principal motivação dos criminosos é financeira”, destaca o estudo da Cisco Talos. A equipe de inteligência observou que os invasores utilizam ferramentas públicas de ataque e binários living-off-the-land (LoLBins), além de um conjunto próprio do desenvolvedor do BabyLockerKZ para roubo de credenciais e movimentação lateral.
Armazenamento do malware em pastas de usuários
O relatório da Cisco Talos também revela que o malware explora pastas de usuário de sistemas comprometidos, como “Music”, “Pictures” e “Documents”, para armazenar e executar ferramentas de ataque. Entre os arquivos e caminhos detectados, destacam-se:
c:\usuários\música\scanner_de_portas_avançado_2.5.3869.exe
c:\usuários\music\killav\build.004\disabler.exe
c:/users/appdata/local/temp/advanced_port_scanner_2/advanced_port_scanner.exe
Esses arquivos evidenciam o uso de scripts e executáveis para comprometer e explorar as redes das vítimas.
Para mais detalhes sobre o BabyLockerKZ e as descobertas da Cisco Talos, confira o estudo completo da Cisco Talos aqui.
