Thanos RaaS – Uma Análise Rápida

Thanos, um Ransomware-as-a-Service (RaaS), foi encontrado à venda nos fóruns clandestinos da Russia no início de 2020. Ele está sendo oferecido como um construtor de ransomware privado com 43 opções de configuração diferentes. Recentemente, o malware adicionou um módulo de bloqueio do Windows MBR.

Principais alvos

  • Muitas variantes deste ransomware têm como alvo ativamente organizações localizadas na Europa Ocidental, Oriente Médio e Norte da África. Essas variantes são criadas usando a ferramenta de construção Thanos.
  • Em 6 e 9 de julho de 2020, os arquivos associados ao ransomware Thanos (também conhecido como Hakbit) foram observados em um ataque direcionado a duas organizações estatais localizadas no Oriente Médio e no Norte da África.
  • Em junho de 2020, uma campanha de ransomware baseada em e-mail foi encontrada visando organizações localizadas na Europa Ocidental (Áustria, Suíça e Alemanha). A campanha de ataque potencializou a ferramenta de construção Thanos.

Modus operandi 

  • O ransomware está disponível como um serviço e oferece a seus usuários a capacidade de criar cargas úteis de ransomware personalizadas. 
  • O ransomware usa uma técnica de ransomware de prova de conceito chamada RIPlace , para contornar as mitigações anti-ransomware.
  • Para propagação, ele usa uma ferramenta PsExec legítima para executar o ransomware em dispositivos conectados à rede.
  • Thanos também se espalha através de vetores de infecção comuns, como engenharia social, phishing e e-mails de spam.

Atualizações recentes e associação

A ferramenta de criação de ransomware foi desenvolvida por um ator de ameaças chamado Nosophoros.

  • O construtor de ransomware Thanos foi promovido como um construtor privado de ransomware oferecido em fóruns de hackers de língua russa desde fevereiro.
  • Thanos também é comercializado com participação nos lucros, uma vez que os hackers e distribuidores de malware alistados recebem uma parcela da receita – de cerca de 60-70% dos pagamentos de resgate – pela distribuição do ransomware.

Principais conclusões

Qualquer indivíduo pode usar o serviço de malware para criar seu ransomware personalizado, junto com técnicas de anti-análise. O desenvolvimento do Thanos ransomware indica que os invasores têm usado este serviço para desenvolver malware personalizado para um público-alvo, funções e preferências específicas. As organizações precisam estar vigilantes e devem atualizar proativamente suas soluções anti-malware, fazer backup de dados importantes, implantar gateway de e-mail seguro e firewalls de rede para bloquear ameaças potenciais.

Fonte: https://cyware.com/news/thanos-raas-a-quick-analysis-13920509