IOCs de ransomware RansomExx é consolidado por engenheiros da Blockbit

Blog

Na última quinta-feira (19), o grupo cibercriminoso Ransomware Exx alegou autoria sobre o sequestro de dados de uma grande empresa varejista brasileira. O ataque resultou na paralisação total do e-commerce e impossibilitou as vendas feitas nos cartões de bandeira própria nas lojas físicas. Os criminosos exigiram um resgate que pode ultrapassar US$ 1 bilhão.

Apesar da gravidade do ataque e dos inúmeros prejuízos causados, o grupo cibercriminoso afirma não ter interesse em divulgar os dados coletados. Seu único objetivo é arrecadar o valor solicitado.

Histórico de Ataques Ransoware no Brasil

Essa não é a primeira vez que o RansomExx invade sistemas de empresas brasileiras. Em novembro do ano passado, o grupo criptografou os servidores do Supremo Tribunal de Justiça (STJ), resultando na suspensão das sessões por aproximadamente uma semana. A Embraer, uma das maiores fabricantes da aviação mundial, também foi alvo do grupo.

Como Funciona o Ataque

De acordo com especialistas do Blockbit LAB, o ransomware RansomExx opera por meio de intrusão via e-mails falsos ou explorando vulnerabilidades do sistema Linux/VMWare ESXi. O ataque é realizado em duas etapas:

  1. Phishing: O ataque começa com um e-mail de phishing, induzindo o alvo a abrir um conteúdo que inicia o download do malware.
  2. Payload: É gerado um payload via URL, contendo um arquivo de extensão .png com o ransomware. Por exemplo: http://13.xxx.68.xxx/pm13/pm13.png.

Após essas etapas, os cibercriminosos obtêm acesso irrestrito ao sistema infectado, mesmo que este utilize tecnologia de criptografia.

Proteção com Blockbit

Especialistas do Blockbit LAB, após consolidarem a lista de Indicadores de Comprometimento (IOC) do RansomExx, confirmaram que os usuários da plataforma 2.0 estão totalmente seguros contra esse tipo de ataque.

Lista de IOC’s RansomExx

  • IPv4 Addresses:
    • 173.208.164.34
    • 192.243.102.227
    • 162.248.245.71
    • 185.206.144.40
    • 185.212.47.21
    • 64.44.51.101
    • 23.106.125.154
    • 144.217.174.184
    • 216.189.145.132
    • 192.254.66.108
    • 13.85.68.166
    • 13.36.229.81
  • File Hashes:
    • SHA256:
      • 64C51351AAFB4CD339934A78D064847BDD833B963EAFBADE86EB51AC2C1677F4
      • 78147D3BE7DC8CF7F631DE59AB7797679ABA167F82655BCAE2C1B70F1FAFC13D
      • CB408D45762A628872FA782109E8FCFC3A5BF456074B007DE21E9331BB3C5849
      • ED2B1F855FC7A39A7CF2CFBFD5A10707801BA313BAB9C5D748FCD3703AAD66FC
      • D85F4448D5AEA240D68C07BEC6F363986D71940C3C1A3E49053D55FD1741C41E
      • F543C477BA67AFD4FB2AE111B22C8D596BF8E61E13A627F6A972FAC4762A70C1
      • E55FCF9315C52D2ABD3431F7E4BB82CBD2B0D24D124E0E1A27B951030B2DE162
      • 4CAE449450C07B7AA74314173C7B00D409EABFE22B86859F3B3ACEDD66010458
    • SHA1:
      • 30391fe6c4ba0b13050863089249c5a7c8f162e2
      • 58c581a7f819cf326cadc3db4f43ffcd8203ee5e
      • 6b5e5a742a8b98b9a87cf317ff694797d49d756a
      • 035c138f3e73b402a48c94e2d97491931b1a0038
      • 33e792ebbd5b4b75b84de2ddf4d47599339f2896
      • 6a0a7e3a21888b87fde3323e0dc4fc085e71a8b7
      • 08574581b59387626aed58a824f3d84b2ea225c9
      • d2716833296317323f7cce5691940ab0b58e36d7
      • 5448e52acc4bfe16cebaef661ca19a913e189bd4
      • 142b147c3b5597dead28d8ba91927ac0a960bf41
      • 1bc3dce31fe1beb727cd449e6cec70578c5dcb55
    • MD5:
      • 63e751462c47f95c89ab83df8d89a36a
      • e87bb48fe2765fabb695002f20b110a5
      • 042f9c2ad916d859eed4875439c317dc
      • d2265abffd6f3093177d7751cef85362
      • 5f94faa27dd26b1be8d62fff816e0d62
      • 8f3dacc0bcb80a9a29cc5cd6483492d0
      • 8e5375a9f1e45cd2200d6f3e2c093314
      • e4c99cd6346d2f1d97b328c2071a4e12
      • 8e5375a9f1e45cd2200d6f3e2c091532
      • 4f0374da16a4469b553a92cb89a26836
      • 0688edb9292aad7febf108238fac5c64
      • 001519e481baed03b4d92a0848024f80
      • 129a057445edf42315c6d626c852f9af
      • b5486edc903eda5b506e7347487477c2
      • 5f94faa27dd26b1be8d62fff816e1871
      • 1a546d8713bffdef3aa74b7f01f3a25e
      • 5a05d348be020d55bf69f109130bb283
      • fe571f22a4d0745a2028e52960ffbaf3
      • e57c25f7969f03dc47ec6ea04d2fe9d9
      • e494c1420a2e1bf2f96ee7698f87d468
      • 6fc225927e1830f7c5e692197e4b98aa
      • 7ee46373a0a370ee9657aebc9ef5448a
      • 2b0ae63aa23b37abd6e51c5954d1be21
      • cf73aa73404a5c9cf0ec50fdd0d7e9ce
      • a8abb3ccbb0a97b127cc27fbf5d06e06
      • 09984d531d55abce0bd1357f87e5044f
      • 437e30fdb138801e17543edd395a783b
      • 129a057445edf42315c6d626c85dba3b
      • e87bb48fe2765fabb695002f20b11876
      • ce1c01137e51ae2d0caf3a4a44319bf0
      • 09984d531d55abce0bd1357f87e93b9c
      • a4f33d89f8d0b0a2607065edbf91fb9f
      • 8f3dacc0bcb80a9a29cc5cd6482a1202
      • e87bb48fe2765fabb695002f20b10873
      • 5a05d348be020d55bf69f109130baa2d
      • 7760f56ff3c593a832f5e59db63209d5

Com mais de 5.000 clientes, Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.

Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.