Ransomware PayloadBIN

O serviço de resgate PayloadBIN faz parte de um dos grupos mais temidos do mundo, Evil Corp, este grupo é responsável por numerosos ataques nos EUA, que geraram milhões de dólares em perdas.

Os ataques foram tão recorrentes que o Gabinete de Controlo de Activos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA impôs sanções contra o grupo, impondo multas às empresas que faziam negócios com os cibercriminosos, tornando muito difícil o pagamento do resgate.

Para tentar contornar estas sanções, o grupo criou derivados do seu malware, desenvolvendo Wasted Locker, Hades, Phoenix e o mais recente serviço de resgate PayloadBIN.

O grupo Evil Corp tentou disfarçar o PayloadBIN para que parecesse um derivado do resgate da BABUK. Esse grupo realizou um ataque ao Departamento de Polícia Metropolitana em Washington, DC. Este ataque tornou o grupo que controla o resgate do BABUK num alvo principal para as agências governamentais e fez com que estas encerrassem todas as operações.

Com o surgimento do serviço de resgate PayloadBIN que utiliza uma estrutura semelhante à da BABUK, ficou implícito que o grupo não tinha encerrado, mas isto não foi confirmado, esta foi apenas uma estratégia da Evil Corp para enganar as autoridades.

PayloadBIN utiliza tácticas de dupla extorsão, que para além de encriptar dados, paralisando as operações da empresa, também rouba ficheiros e ameaça libertá-los se a empresa não contactar e pagar o resgate.

Ao contrário de outros grupos de resgates que utilizam apenas um site para fugas, PayloadBIN cria um site para cada empresa, e aí revela as fraquezas das empresas e divulga amostras dos dados roubados.

Um ficheiro chamado ‘PAYLOADBIN-README.txt’ é deixado no computador e contém instruções sobre como a vítima pode contactar o grupo e pagar o resgate.