O ransomware Yatron contém EternalBlue e DoublePulsar maliciosos para explorar o PC alvo

Yatron ransomware

O ransomware Yatron é aquele que varre o computador alvo em busca de arquivos específicos e os criptografa usando a criptografia RaaS. Imediatamente depois disso, ele anexa os nomes dos arquivos pela extensão .Yatron e torna os arquivos inacessíveis.

Quando o processo criptografado é concluído, o ransomware gera o arquivo .txt que contém uma mensagem curta. A mensagem afirma que as vítimas têm de pagar uma taxa de resgate dentro de 72 horas para os desenvolvedores, caso contrário os arquivos criptografados serão excluídos.

O ransomware envia as senhas de criptografia e o código exclusivo para o servidor de comando e controle. Na nota de resgate, os desenvolvedores supostamente afirmam fornecer a descriptografia quando a taxa de resgate é feita.

Segundo o pesquisador de segurança digital Michael Gillespie, o Yatron é baseado no HiddenTear, mas desde que o algoritmo de criptografia foi modificado para que não possa ser descriptografado usando métodos conhecidos.

Códigos maliciosos no Yatron para causar explorações de EternalBlue e DoublePulsar

Para sua informação, o EternalBlue é um exploit de execução remota de código do SMBv1 que permite que os cibercriminosos responsáveis ​​pela ameaça comprometam os hosts do Windows das vulnerabilidades. Por outro lado, o DoublePulsar é um backdoor usado por eles para carregar uma carga útil específica para um host infectado.

A análise afirma que o Yatron Ransomware-as-a-service contém os códigos que devem ser usados ​​para propagar essas duas explorações na mesma rede por meio de vulnerabilidades de segurança do SMBv1.

Esses códigos tornarão o ransomware mais perigoso. Além de criptografar os arquivos e torná-los inacessíveis, isso pode criar o risco de vulnerabilidades do sistema. Alguns dos principais riscos que estes irão criar, se eles tiverem esses dois códigos propagados na rede e instalar no sistema com o ransomware são:

  • O ransomware pode causar os problemas no sistema, causando vários problemas internos. O código Eternalblue-2.2.0 exe ​​irá processar no gerenciador de tarefas e em vários locais o tempo todo. Ele modifica as chaves de registro do Windows, prompt de comando, configurações de DNS, etc Em suma, ele irá alterar o desempenho do PC fará com que ele responda mais lento do que nunca.
  • O ransomware se intromete com o código Doublepulsar-1.3.1.exe, o que significa que os cibercriminosos podem fazer upload de outros malwares mal-intencionados dentro do host infectado. Esses malwares irão invadir completamente e realizar inúmeras atividades que causarão grandes danos ao PC.

Atualmente, os dois códigos estão inacabados e, portanto, o Yatron atualmente não está utilizando os arquivos executáveis ​​Eternalblue-2.2.0.exe e Doublepulsar-1.3.1.exe. No entanto, o seu decifrador não está sendo criado por especialistas em segurança cibernética, portanto, foi distribuído amplamente hoje em dia e tensão para vários especialistas em segurança cibernética.