Kit de ferramentas de ransomware de código aberto Cryptonite se transforma em malware de limpeza acidental.

Uma versão de um kit de ferramentas de ransomware de código aberto chamado Cryptonite foi observada na natureza com recursos de limpeza devido à sua “arquitetura e programação fracas”.

O Cryptonite , ao contrário de outras variedades de ransomware, não está disponível para venda no submundo do cibercrime e, em vez disso, foi oferecido gratuitamente por um ator chamado CYBERDEVILZ até recentemente por meio de um repositório GitHub. O código-fonte e seus forks foram retirados.

Escrito em Python, o malware emprega o módulo Fernet do pacote de criptografia para criptografar arquivos com uma extensão “.cryptn8”.

Mas uma nova amostra analisada pelo Fortinet FortiGuard Labs foi encontrada para bloquear arquivos sem opção de descriptografá-los de volta, essencialmente agindo como um limpador de dados destrutivo.

Mas essa mudança não é um ato deliberado por parte do agente da ameaça, mas decorre de uma falta de garantia de qualidade que faz com que o programa trave ao tentar exibir a nota de resgate após concluir o processo de criptografia.

“O problema com essa falha é que, devido à simplicidade do design do ransomware, se o programa travar – ou mesmo fechar – não há como recuperar os arquivos criptografados”, disse Gergely Revay, pesquisador da Fortinet , em um artigo na segunda-feira.

A exceção lançada durante a execução do programa ransomware também significa que a “chave” usada para criptografar os arquivos nunca é transmitida aos operadores, bloqueando assim os usuários de seus dados.

As descobertas surgem no cenário de um cenário de ransomware em evolução, onde os limpadores sob o disfarce de malware criptografador de arquivos estão sendo cada vez mais implantados para sobrescrever dados sem permitir a descriptografia.