A equipe de investigação de ameaças SonicWall Capture Labs encontrou um novo ransomware, conhecido como Instabot. Trata-se de um tipo de ataque por meio de software malicioso que infecta o computador do usuário e exibe mensagens que exigem o pagamento de um resgate para que o sistema volte a funcionar. O objetivo dos cibercriminosos é receber dinheiro e, neste caso, segundo as evidências da SonicWall, o que está sendo solicitado é o pagamento de Bitcoin.
A ameaça está se estendendo ativamente e o servidor web utilizado pelos operadores está, atualmente, online. Os cibercriminosos cobram US$ 980 em Bitcoin para a recuperação de arquivos, mas também oferecem um desconto de 50% se o pagamento se realizar dentro de 72 horas.
Segundo o relatório anual de ciberameaças da SonicWall, os ataques direcionados de ransomware paralisam as vítimas. Embora o volume total de ransomware (187,9 milhões) tenha diminuído 9% durante o ano, os ataques altamente seletivos deixaram paralisados muitos governos federais, estaduais e municipais, eliminando os serviços de comunicações por e-mail, sites, linhas telefônicas e também escritórios inteiros.
Ciclo de infecção:
O malware usa o seguinte ícone:
Faz a seguinte solicitação de DNS: akbz.top
O Instabot informa a infecção a um servidor remoto. Isso inclui a chave pública:
São feitas solicitações a um servidor remoto para fazer download de malware adicional e arquivos criptografados são agregados ao sistema.
A equipe de investigação de ameaças do SonicWall Capture Labs se comunicou com os operadores por e-mail e recebeu algumas instruções, que são as mesmas recebidas pelos usuários vítimas para continuar ameaçando-os. Na mensagem de e-mail é fornecido um link para um vídeo que mostra como usar a ferramenta de descriptografia.
Proteção
As empresas podem detectar em tempo real o ransomware com serviços avançados de segurança de múltiplas camadas, incluindo segurança de terminais, serviços de firewall de última geração, segurança de e-mail e acesso remoto seguro. Com a plataforma da SonicWall, as empresas podem deter as variantes de ransomware novas, conhecidas e atualizadas, e fazer voltar os terminais ao seu estado inicial por meio da opção de rollout.
SonicWall Capture Labs fornece proteção contra essa ameaça por meio das seguintes assinaturas:
GAV: Instabot.RSM_7 (trojan)
GAV: Instabot.RSM_8 (trojan)
Essa ameaça também é detectada pelo SonicWALL Capture ATP com RTDMI e as soluções de end point como Capture Client.
