De acordo com comunicado dos seus programadores o ramsomware GandCrab vai deixar de operar, depois dos mesmos terem somado uma quantia milionária de dinheiro das vítimas
No final de janeiro de 2018, os hackers responsáveis pelo ramsomware GandCrab deram início à promoção do malware, e bastou pouco tempo para que se posicionasse entre as 5 famílias de ramsomware mais detetadas, chegando a níveis similares ao WannaCry e/ou Crysis, embora com a particularidade de ser tratar de um malware que recebeu uma grande quantidade de atualizações num curto período de tempo. Contudo, após um ano e meio de atividade, os seus operadores comunicaram que vão dar baixa desta família de ransomware.
É importante destacar que o GandCrab foi até agora distribuído como um ransomware as a service(RaaS), pelo que os operadores desta família ofereciam aos interessados a possibilidade de participar num “Partners Program” e dividir os ganhos.
Embora, como é possível ver na captura de ecrã que o investigador em segurança Damian partilhou, os operadores do GandCrab garantam que obtiveram ganhos na ordem de mais de dois mil milhões de dólares e uma média de dois milhões e meio por semana das suas vítimas, estas afirmações são impossíveis de confirmar. Mais ainda considerando que as piadas e a ironia foi algo que sempre caraterizou os atores por detrás desta família de ransomware nos seus comunicados e ações.
Da mesma forma, algo que podemos assegurar é que o GandCrab rapidamente passou a fazer parte das famílias de ransomware com mais deteções na região da América Latina no mês de agosto de 2018, cinco dos seus países figuravam entre os dez que mais deteções registaram desta ameaça a nível mundial.
A sua forma de distribuição foi muito diversa. E apesar de a nível global terem sido detetadas campanhas de spam que distribuíram a ameaça através de e-mail, na América Latina, pelo menos durante quatro meses, foram utilizadas técnicas de engenharia social para enganar as suas vítimas com a desculpa de se tratar de uma atualização de fontes para o sistema operativo. Mas o salto nas deteções desta família foi registado meses depois, quando os hackers começaram a utilizar aplicações para ultrapassar o sistema de segurança de programas de diferentes tipos, desde editores de texto ou multimédia até videojogos, tal como vimos na primeira análise realizada a esta família.
No seu comunicado, publicado num conhecido fórum de hacking, os atores maliciosos por trás deste ramsomware dizem que já deixaram de promover o malware e que solicitaram a quem ainda o faz para que deixem de o fazer no prazo de 20 dias a partir da data de publicação do anúncio. Para além disso, avisam ainda as vítimas que ou pagam agora para recuperar os seus arquivos ou nada poderá ser recuperado depois, já que as chaves serão eliminadas.
Acontece muitas vezes quando hackers pretendem descontinuar uma ameaça, como é o caso de um ransomware, a decisão de publicar a chave mestra. Isto permite a criação de ferramentas para desencriptar os arquivos que foram afetados por uma família em particular, como foi o caso do TeslaCryp, quando graças à publicação da chave mestra os investigadores da ESET conseguiram criar uma ferramenta de desencriptação para as vítimas de ransomware. No caso do GrandCrab ainda não sabemos o que vai acontecer. Apesar dos responsáveis dizerem que vencido o prazo as chaves serão eliminadas, não sabemos se se trata de uma fraude para que as vítimas paguem pelo resgate sabendo que existe o risco de que com o encerramento também apaguem as chaves de desencriptação.
[…] os criminosos por trás do GandCrab, uma ameaça que distribuía um Ransomware as a Service (RaaS), anunciaram que deixariam de operar. Além disso, em declaração, os operadores do malware alertaram ainda as […]