A Sophos divulgou um novo relatório sobre a família de ransomwares chamada Matrix. O malware está em operação desde 2016, e a Sophos rastreou 96 amostras. Assim como ransomwares direcionados anteriores, incluindo BitPaymer, Dharma e SamSam, os criminosos que infectam computadores utilizando o Matrix invadiram redes corporativas e infectaram esses dispositivos através do protocolo RDP (Remote Desktop Protocol), uma ferramenta de acesso remoto integrada para computadores Windows. No entanto, ao contrário dessas outras famílias de ransomware, o Matrix busca infectar apenas uma única máquina na rede, em vez de se espalhar amplamente por uma organização.
No estudo da Sophos “Matrix: Um Ransomware Direcionado Sutil” (PDF, inglês), a SophosLabs utiliza engenharia reversa para analisar o código em evolução e técnicas empregadas pelos invasores, assim como os métodos e notas de resgate usados para tentar extorquir dinheiro das vítimas. Os criminosos Matrix evoluíram os parâmetros de ataque ao longo do tempo, com novos arquivos e scripts adicionados para implantar diferentes tarefas e cargas úteis na rede.
Os pedidos de resgate do Matrix são incorporados no código de ataque, mas as vítimas não sabem o quanto devem pagar até entrar em contato com os invasores. Durante a maior parte da existência desse malware, os autores usaram um serviço de mensagens instantâneas anônimo criptograficamente protegido chamado bitmsg.me, mas esse serviço foi descontinuado e os autores voltaram a usar contas de e-mail normais.
Os criminosos cibernéticos por trás do Matrix fazem a demanda por resgate de criptomoedas sob a forma de um valor equivalente em dólares americanos. Isso é incomum, já que as demandas por criptomoedas normalmente vêm como um valor específico na mesma moeda, e não o equivalente em dólares. Não está claro se o pedido de resgate é uma tentativa deliberada de desorientar ou apenas uma tentativa de explorar as taxas de câmbio flutuantes de criptomoedas. Com base nas comunicações que a SophosLabs teve com os invasores, as demandas de resgate foram de US$ 2.500, mas os invasores acabaram reduzindo o resgate quando os pesquisadores pararam de responder às demandas.
O Matrix é o equivalente ao canivete suíço do mundo do ransomware, com novas variantes capazes de escanear e localizar computadores como potenciais vítimas uma vez inserido na rede. Embora os volumes de amostra sejam pequenos, isso não o torna menos perigoso; o Matrix está evoluindo e versões mais recentes estão aparecendo à medida que o invasor está melhorando conforme as lições aprendidas em cada ataque.
O Relatório de Ameaças de 2019 da Sophos destacou que ransomwares direcionados vão liderar o comportamento dos hackers, e as organizações precisam permanecer vigilantes e trabalhar para garantir que não sejam um alvo fácil.
