Onyx está entre os participantes mais recentes no cenário do ransomware;ele começou a aparecer em abril de 2022. Acredita-se que seja uma variante do Chaos ransomware, mas alguns de seus recursos também são semelhantes aos do Conti ransomware. O grupo de ransomware Onyx supostamente tem um total de 13 vítimas de seis países diferentes até agora, com a maioria das vítimas sendo dos Estados Unidos.
Estratégia de extorsão dupla
Como a maioria dos ransomwares, o Onyx opera na estratégia de dupla extorsão, onde os invasores não apenas roubam e criptografam os dados, mas também ameaçam publicá-los se o resgate não for pago. Como se isso não bastasse, o nível de ameaça e destruição foi aumentado pelo grupo. Onyx ransomware substitui os dados em arquivos com dados de lixo aleatórios em vez de apenas criptografá-los. Isso significa que a maior parte dos dados da vítima é essencialmente destruída e não pode ser recuperada ou descriptografada. Foi inicialmente relatado que o Onyx ransomware estava substituindo todos os arquivos maiores que 200 MB. Acreditava-se que isso fosse uma tentativa deliberada de destruir arquivos grandes. No entanto, descobriu-se mais tarde que o Onyx de fato substitui todos os arquivos maiores que apenas 2 MB e criptografa apenas os menores que 2 MB. Isso torna as coisas muito piores; com 2 MB sendo um tamanho de arquivo relativamente pequeno, muitos dos arquivos das vítimas serão substituídos por dados de lixo e, portanto, não poderão ser recuperados.
Especificações técnicas
Embora ainda haja muito a aprender sobre o Onyx agora, pesquisadores de segurança conseguiram analisar amostras desse ransomware para entender algumas de suas funcionalidades. As descobertas incluem:
-
O malware Onyx é escrito na linguagem de programação .NET.
-
O Onyx ransomware usa algoritmos de criptografia AES e RSA para criptografar os arquivos das vítimas.
-
O malware é conhecido por atingir mais de 250 extensões de arquivo diferentes.
-
Uma vez executado, o malware criptografa os arquivos de destino com a extensão “.ampkcz”.
-
O ransomware criptografa apenas arquivos com menos de 2 MB; qualquer coisa maior é substituída por dados de lixo aleatórios.
-
Ele funciona como um lixo que destrói uma parte dos arquivos da vítima. Devido a essa natureza destrutiva, está sendo visto mais como um malware de limpeza de disco do que um ransomware clássico.
-
O código também contém uma função chamada “spreadIt”, projetada para propagar o ransomware.
-
Este ransomware exclui o volume de cópias de sombra e catálogos de backup, evitando assim qualquer possível recuperação de dados.
-
Quando o processo de criptografia estiver concluído, o ransomware lança uma nota de resgate intitulada “readme.txt” em cada diretório criptografado. Esta nota de resgate é supostamente uma cópia da nota de resgate Conti.
-
Embora nenhum vetor de ataque específico seja conhecido, o Onyx pode estar usando táticas como engenharia social, phishing, e-mails de spam ou anexos maliciosos, assim como qualquer outro ransomware.
No geral, o código malicioso parece pouco sofisticado de várias maneiras e também apresenta alguns erros aparentes, por isso é altamente provável que o grupo esteja trabalhando para atualizar o executável do ransomware.
Pagamento de resgate
Os grupos de ransomware geralmente contam com o desespero da vítima e exigem um resgate em troca de descriptografia. As vítimas acabam pagando na esperança de recuperar seus dados. A lógica subjacente aqui é que a ameaça funcionará apenas se as vítimas tiverem a menor esperança de recuperar seus dados. Portanto, se esses agentes de ameaças não cumprirem sua parte no acordo descriptografando os arquivos após o pagamento, as vítimas não verão sentido em pagar o valor do resgate. O Onyx ransomware foi projetado de uma forma que não pode cumprir essa promessa porque efetivamente substitui todos os arquivos acima de 2 MB, impossibilitando a recuperação dos dados. À medida que mais e mais empresas começam a perceber isso, elas não veriam nenhum mérito em pagar o resgate. Os pesquisadores estão tendo dificuldade em entender a intenção do grupo Onyx por trás do design de seu malware de uma maneira que diminuiria a probabilidade de ser pago a longo prazo.
Mesmo com outros grupos de ransomware, apenas um punhado de vítimas recupera seus dados depois de pagar o resgate. Também houve casos em que grupos de ransomware, como o Conti, divulgaram dados roubados mesmo depois que a vítima pagou o resgate. Com o Onyx, a situação é muito pior, pois as vítimas acabam perdendo a maior parte de seus dados de qualquer forma. Mesmo que paguem o resgate e mesmo que obtenham um desencriptador, apenas os ficheiros encriptados mais pequenos podem ser recuperados. Os analistas estão, portanto, aconselhando as vítimas a não pagarem o resgate porque isso não resolverá o problema, e também é provável que a extorsão continue mesmo após o pagamento.
Mesmo com outros grupos de ransomware, apenas um punhado de vítimas recupera seus dados depois de pagar o resgate. Também houve casos em que grupos de ransomware, como o Conti, divulgaram dados roubados mesmo depois que a vítima pagou o resgate. Com o Onyx, a situação é muito pior, pois as vítimas acabam perdendo a maior parte de seus dados de qualquer forma. Mesmo que paguem o resgate e mesmo que obtenham um desencriptador, apenas os ficheiros encriptados mais pequenos podem ser recuperados. Os analistas estão, portanto, aconselhando as vítimas a não pagarem o resgate porque isso não resolverá o problema, e também é provável que a extorsão continue mesmo após o pagamento.
Embora seja considerado em seus estágios iniciais e sem sofisticação, o Onyx ainda representa uma enorme ameaça para as organizações devido à sua natureza altamente destrutiva. É necessária uma solução de segurança eficaz que detecte ameaças ou qualquer atividade maliciosa rapidamente, investigue a causa raiz e tome medidas corretivas para proteger contra os danos causados por ransomware como o Onyx. Nossa solução SIEM, ManageEngine Log360, ajuda a prevenir ataques alertando se quaisquer eventos ou atividades incomuns forem detectados e iniciando processos de correção automática. Para avaliar completamente como o Log360 pode ajudar sua organização a se defender contra o ransomware Onyx e outros ataques cibernéticos, inscreva-se para uma demonstração gratuita e personalizada.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Vamsi Krishna Sanapala.