Nova versão do Albabat mira Linux, macOS e usa GitHub para ataques

Novas versões do ransomware Albabat foram desenvolvidas, permitindo que hackers direcionem ataques a múltiplos sistemas operacionais e aumentem a eficiência das infecções.

Pesquisadores da Trend Micro afirmaram que a versão 2.0 do ransomware não ataca apenas o Microsoft Windows, mas também coleta informações de sistema e hardware em máquinas Linux e macOS.

Essa versão utiliza uma conta no GitHub para armazenar e distribuir arquivos de configuração do ransomware, com o objetivo de facilitar e agilizar as operações.

Os pesquisadores também encontraram evidências do desenvolvimento de uma nova variante, a versão 2.5, que ainda não foi utilizada em ataques reais.

As descobertas mostram como as ferramentas e técnicas de ransomware evoluem rapidamente para expandir e aprimorar os ataques.

O Albabat é uma variante de ransomware escrita em Rust, projetada para identificar e criptografar arquivos. Ele foi observado pela primeira vez em novembro de 2023.

Como funciona a nova versão do Albabat

A Trend Micro analisou a nova versão do ransomware para entender suas configurações.

A versão 2.0.0 foca na criptografia de arquivos específicos, como .themepack, .bat, .com, .cmd e .cpl, ignorando pastas como Searches, AppData, $RECYCLE.BIN e System Volume Information.

Além disso, ela finaliza processos como taskmgr.exe, processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe e msaccess.exe. Isso provavelmente visa dificultar a detecção e desativar ferramentas de segurança que poderiam interferir na criptografia.

Os pesquisadores observaram que o ransomware se conecta a um banco de dados PostgreSQL para rastrear infecções e pagamentos, o que ajuda os hackers a exigir resgates, monitorar vítimas e até vender os dados coletados.

As configurações ainda incluem comandos voltados a sistemas Linux e macOS, indicando que binários específicos já foram desenvolvidos para essas plataformas.

A Trend Micro identificou que o repositório do GitHub billdev.github.io está sendo usado para armazenar e distribuir os arquivos de configuração do ransomware. A conta foi criada em 27 de fevereiro de 2024, registrada sob o nome “Bill Borguiann”, provavelmente um pseudônimo.

Apesar de o repositório estar atualmente privado, ele ainda pode ser acessado por meio de um token de autenticação capturado durante a análise. O histórico de alterações mostra um desenvolvimento ativo e constante do ransomware, com modificações principalmente nas configurações. O commit mais recente foi feito em 22 de fevereiro de 2025.

Nova variante do Albabat em desenvolvimento

Foi identificada uma pasta chamada 2.5.x no repositório do GitHub, sugerindo que uma nova versão do ransomware está em fase de desenvolvimento. Nenhum arquivo executável foi encontrado nessa pasta, mas um arquivo config.json foi localizado.

Essa nova configuração traz carteiras de criptomoedas recém-adicionadas para Bitcoin, Ethereum, Solana e BNB, embora nenhuma transação tenha sido detectada até o momento.

A Trend Micro ressaltou a importância de monitorar indicadores de comprometimento (IoCs) para se antecipar a ameaças em constante evolução, como o Albabat. A análise desses indicadores permite identificar padrões de ataque e criar estratégias de prevenção proativas.

Via - ISM