O Brasil está atualmente no centro dos ataques do BabyLockerKZ, uma variante do ransomware MedusaLocker, conforme identificado por especialistas em cibersegurança da Cisco Talos. Segundo relatório divulgado, o BabyLockerKZ tem direcionado suas atividades para transações financeiras, e, após deixar a Europa em 2023, passou a focar a América Latina em 2024, com o Brasil como principal alvo.
O malware tem impactado principalmente empresas e instituições brasileiras. A Cisco Talos observa que, até o primeiro trimestre de 2024, foram registrados cerca de 200 endereços de IP comprometidos por mês – um padrão que afeta mais de 100 vítimas a cada mês desde 2022. Uma característica distintiva desse malware é a presença do termo “paid_memes” no caminho PDB (arquivo de extensão), marcando uma diferença significativa em relação à versão tradicional do MedusaLocker.
Entre as especificidades dessa variante estão ajustes na execução automática e o uso de chaves extras no registro do sistema, o que, segundo especialistas, demonstra a precisão e profissionalismo dos ataques. A estratégia do BabyLockerKZ envolve ferramentas de ataque já conhecidas e LoLBins (binários living-off-the-land), que ajudam a roubar credenciais e realizar movimentações laterais nas redes comprometidas. Adicionalmente, um “checker” auxilia na detecção de vulnerabilidades no sistema, acelerando a propagação do ransomware.
O BabyLockerKZ é capaz de realizar roubos de credenciais, sequestrar arquivos e comprometer dados financeiros.
Sobre Malware e Ransomware
Malware é um termo geral para softwares criados para acessar dispositivos sem autorização, abrindo caminho para golpes e ataques; inclui spywares, trojans e ransomwares. Ransomware, por sua vez, atua como um sequestrador digital, criptografando arquivos e exigindo pagamento para desbloqueá-los. Além das perdas financeiras, operadores de ransomware frequentemente fazem chantagem, ameaçando expor dados sensíveis.
