Malware BabyLockerKZ muda foco e cresce no Brasil e na América Latina

Imagem sombria com um laptop em foco e um símbolo de alerta vermelho no centro, representando uma ameaça digital. Há uma sobreposição de gráficos digitais abstratos em vermelho, sugerindo atividades cibernéticas ou ataques de malware. As mãos de uma pessoa digitando no teclado são visíveis ao fundo, enfatizando o risco de segurança online (malwares, ScarletStealer, Eset)

Um levantamento divulgado pela Cisco Talos – unidade de inteligência da Cisco – em novembro cita a descoberta de uma variante do ransomware MedusaLocker. Conhecido como “BabyLockerKZ”, o malware tem motivações financeiras e registrou aumento significativo no número de ataques na Europa entre o fim de 2022 e o início de 2023.

Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou. Os cibercriminosos mudaram o foco dos ataques para países da América Latina, como México, Brasil, Argentina e Colômbia.

O levantamento da Cisco Talos aponta que os ataques mantiveram volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.

Leia também: MediaTek estima chegada do Wi-Fi 8 para 2028

Segundo a empresa, o malware tem comprometido corporações de forma consistente. Foram mais de 100 vítimas por mês desde 2022. Para o Cisco Talos, isso revela a natureza profissional e agressiva dos ataques.

Característica do malware

Segundo o estudo, a variante é compilada com caminho PDB que tem a presença da palavra “paid_memes”. O “BabyLockerKZ” tem diferenças significativas se comparadas à versão clássica do “MedusaLocker”, entre elas modificações na execução automática e utilização de chaves adicionais armazenadas no registro. Esse fator, diz a Cisco talos, reforça o profissionalismo e a precisão dos cibercriminosos.

Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos o malware é puramente financeiro. O invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins).

O estudo destaca que o ataque responsável pela implantação do malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário “Music”, “Pictures” ou “Documents” de sistemas comprometidos para armazenar os mecanismos de ataque.

Mais sobre o malware e o estudo completo da Cisco Talos podem ser vistos, em inglês, nesse link.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!