Weaxor: Ransomware Ganha Nova Variante para Linux e Ameaça Infraestruturas Críticas
O ransomware Weaxor, uma evolução do conhecido Mallox, agora ataca sistemas Linux, explorando vulnerabilidades em aplicações web e OA. O artigo detalha a cadeia de ataque, mecanismos de criptografia e táticas de extorsão, oferecendo recomendações de defesa.
01. Uma Nova Variante de uma Família Antiga
O ransomware Weaxor, uma versão "rebranded" da outrora ativa família de ransomware Mallox, herdou a furtividade e o poder destrutivo de seu predecessor em sua arquitetura técnica e táticas de ataque. De acordo com inteligência de monitoramento do 360 Security Brain, desde sua primeira aparição na China em outubro de 2024, a família Weaxor demonstrou uma forte capacidade de penetração e adaptabilidade. Em 2025, continuou a dominar o ranking de atividades de ataque de ransomware na China, representando um sério desafio para as infraestruturas críticas em vários setores do país. As variantes anteriores do Mallox/Weaxor focavam principalmente em plataformas de sistema Windows. No entanto, recentemente, temos monitorado vários incidentes de ataque desta família visando ambientes de servidor Linux. Os atacantes começaram a explorar intensivamente vulnerabilidades de execução remota de código (RCE) em sistemas OA e aplicações web populares na China como trampolins, para então realizar ataques de "poisoning" e criptografar dados. Diante dessa situação, este relatório irá dissecar a cadeia de ataque do Weaxor contra a plataforma Linux, seus mecanismos de criptografia e métodos de extorsão. O objetivo é fornecer referências de defesa eficazes e bases para tratamento para administradores de sistemas e equipes de resposta a incidentes de segurança, através de uma análise detalhada dos aspectos técnicos desta família.
Figura 1. Arquivos Linux criptografados pelo ransomware Weaxor
02. Análise Técnica da Variante para Plataforma Linux
Selecionamos uma amostra típica do ransomware Weaxor para análise em um ambiente de sistema Linux. A amostra é um arquivo executável para sistemas Linux de 64 bits (formato ELF64). Ao iniciar, o programa permite especificar o modo de operação do ransomware através de parâmetros de execução. O significado detalhado dos parâmetros e seus valores padrão são mostrados na tabela a seguir:
Figura 2. Ransomware suporta especificação do modo de trabalho via parâmetros
| Parâmetro | Descrição | Valor Padrão |
|---|---|---|
-h | Exibe mensagem de ajuda | N/A |
-p | Caminho para o arquivo de configuração | /etc/weaxor.conf |
-d | Diretório para criptografar | /home |
-e | Extensão de arquivo a ser criptografada | .locked |
-k | Chave de criptografia (hexadecimal) | Gerada aleatoriamente |
Tabela 1. Descrição dos parâmetros de execução da amostra
1. Detecção de Ambiente
Após o início, a amostra primeiro verifica os conjuntos de instruções suportados pela CPU do dispositivo atual. Se for detectado que a CPU do dispositivo atual não suporta o conjunto de instruções AVX2, uma mensagem de aviso é exibida e o programa é encerrado. Isso ocorre principalmente porque este conjunto de instruções é usado para acelerar tarefas de computação de alta intensidade, e o ransomware depende muito das instruções YMM/AVX2 de 256 bits para várias operações de criptografia, codificação, divisão de arquivos e cópia de memória. Além disso, alguns ambientes de virtualização usados para análise não suportam o conjunto de instruções AVX2, portanto, essa detecção também pode servir a uma função de "anti-análise".
O diagrama de fluxo lógico desta detecção é mostrado abaixo:
Figura 3. Diagrama de fluxo lógico de detecção de conjunto de instruções da amostra
O código de detecção específico é o seguinte:
Figura 4. Código de detecção de conjunto de instruções
Quando o dispositivo passa na detecção, a amostra começa a executar formalmente e primeiro reporta as informações da vítima.
Figura 5. Código do ransomware para reportar informações da vítima
Capturamos os dados de informações da vítima realmente enviados pela amostra em um ambiente de análise. O conteúdo do pacote capturado é mostrado abaixo:
Figura 6. Dados reais enviados pelo ransomware
No pacote de dados enviado, os significados e exemplos dos campos específicos são os seguintes:
| Campo | Significado | Exemplo |
|---|---|---|
victim_id | Identificador único da vítima | A1B2C3D4E5F67890 |
hostname | Nome do host do sistema | server01 |
ip_address | Endereço IP do sistema | 192.168.1.100 |
os_version | Versão do sistema operacional | Ubuntu 20.04 LTS |
cpu_info | Informações da CPU | Intel(R) Xeon(R) CPU E5-2670 v3 @ 2.30GHz |
Tabela 2. Descrição dos campos de informação de dados
2. Geração de Chave
Após análise, o fluxo de derivação de chave usado por este ransomware para criptografia de dados é o seguinte:
Figura 7. Diagrama de fluxo de derivação de chave
O ransomware primeiro usa a interface aleatória global e números aleatórios lidos de /dev/urandom para realizar operações aleatórias e gerar a chave para o algoritmo ChaCha20 para criptografia.
Figura 8. Amostra gera números aleatórios e a chave ChaCha20
Além disso, o ransomware possui uma chave pública embutida de 0x20d bytes. O valor específico desta chave em nossa amostra de teste é o seguinte:
A65AD0F345DB4E0EFFE875C3A2E71F42C7129D620FF5C119A9EF55F05185E0FB
Esta chave pública será usada para a função de troca de chaves do algoritmo X25519:
Figura 9. Utilizando a chave pública embutida para troca de chaves X25519
Após obter a chave pública embutida, o ransomware criptografa a chave do algoritmo ChaCha20 gerada anteriormente usando o algoritmo AES-256-CTR.
Figura 10. Criptografando a chave ChaCha20 usando o algoritmo AES
Após a conclusão desses processos de geração e encapsulamento de chaves, o ransomware finalmente usa o algoritmo ChaCha20 para criptografar os arquivos e dados no dispositivo da vítima.
Figura 11. Criptografando usando o algoritmo ChaCha20
3. Criptografia de Arquivos
Ao entrar no thread de varredura de arquivos do ransomware, ele verifica a existência de um arquivo de marcação rox.txt no diretório atual e determina se a criptografia ou outro tratamento especial é necessário com base no conteúdo deste arquivo.
Figura 12. Thread de varredura de arquivos verifica o arquivo de marcação rox.txt
Durante o processo de criptografia, o ransomware criptografa formatos especificados. Ele também exclui alguns caminhos de operações de criptografia.
Extensões de arquivo não criptografadas (Sistema/UI/Instalação)
| Extensão |
|---|
.dll |
.exe |
.sys |
.msi |
.dmg |
.pkg |
Tabela 3. Extensões de arquivo não criptografadas
Extensões de arquivo criptografadas
Essas extensões são divididas em três partes: arquivos de pacote comuns, arquivos de banco de dados e arquivos de máquina virtual.
| Categoria | Extensões |
|---|---|
| Pacotes | .tar, .zip, .rar, .7z |
| Bancos de Dados | .sql, .db, .mdb, .bak |
| Máquinas Virtuais | .vmdk, .vdi, .vhdx |
Tabela 4. Extensões de arquivo criptografadas
As três listas de extensões criptografadas acima contêm arquivos de alto valor. Extensões de arquivo de documentos comuns, como .docx, .pdf, .txt, etc., não estão listadas acima e ainda serão criptografadas por padrão, não sendo excluídas da criptografia.
Após criptografar os arquivos, o ransomware anexa as informações da chave criptografada ao final dos arquivos criptografados.
Figura 13. Anexa dados adicionais ao final de arquivos criptografados
O diagrama de estrutura dos dados anexados relacionados é o seguinte:
Figura 14. Diagrama da estrutura dos dados anexados
Além disso, a nova versão do ransomware capturada desta vez tem uma ligeira diferença nos dados anexados ao final dos arquivos criptografados em comparação com a versão antiga capturada anteriormente.
Figura 15. Comparação das diferenças nos dados anexados entre as versões nova e antiga
4. Trabalho de Finalização
Após a conclusão da criptografia, um arquivo rox.txt é gerado. O conteúdo deste arquivo inclui o endereço IP do dispositivo atual, nome de usuário, processador e outras informações críticas.
Figura 16. Conteúdo do arquivo rox.txt gerado após a criptografia
Em seguida, a amostra também reporta as informações do usuário vítima.
Figura 17. Ransomware reporta informações do usuário vítima
Finalmente, um arquivo de nota de resgate chamado "RECOVERY INFORMATION.txt" é liberado localmente para notificar o usuário vítima sobre a operação de pagamento de resgate. É importante notar que a "Your key" na nota de resgate é uma string hexadecimal maiúscula de 64 bits convertida do ID de Vítima aleatório de 32 bytes gerado no início da infecção.
Figura 18. Libera a nota de resgate
03. Recomendações de Segurança
Em resposta às características de ataque do ransomware Weaxor no ambiente Linux, recomenda-se a adoção de uma estratégia de proteção abrangente de "defesa em profundidade, monitoramento proativo, backup em primeiro lugar". As sugestões específicas são as seguintes:
-
Fortalecer a Autenticação de Identidade e o Controle de Acesso
- Desabilitar senhas fracas e proteção contra ataques de força bruta.
- Implementar rigorosamente políticas de senhas fortes e configurar restrições de login SSH. Recomenda-se desabilitar o login remoto direto do root e usar um usuário não privilegiado com
sudopara escalonamento de privilégios. - Implantar autenticação multifator (MFA).
- Habilitar MFA para todas as interfaces de acesso remoto (como SSH, VPN, desktop remoto, etc.) para prevenir invasões ilegais devido a vazamento de credenciais.
-
Gerenciamento de Vulnerabilidades e Fortalecimento do Sistema
- Corrigir vulnerabilidades em tempo hábil.
- Priorizar a verificação de vulnerabilidades de alto risco conhecidas em aplicações web (como Tomcat, WebLogic, Nginx, etc.) e sistemas de banco de dados, garantindo a atualização oportuna de patches.
- Princípio do menor privilégio.
- Restringir estritamente os privilégios de execução de serviços web e outros middlewares para evitar que atacantes obtenham privilégios máximos do sistema devido a vulnerabilidades de serviço.
-
Construir um Sistema Abrangente de Monitoramento e Resposta
- Implantar proteção EDR/XDR.
- Implantar sistemas de detecção e resposta de endpoint (EDR) no lado do servidor, com foco no monitoramento de comportamentos como inicialização anormal de processos, leitura/escrita em lote de arquivos sensíveis e chamadas de API de criptografia, para alcançar o bloqueio em tempo real de atividades de ransomware.
- Auditoria de logs e análise de tráfego.
- Habilitar logs de auditoria de sistemas críticos e usar ferramentas de análise de tráfego para monitorar o movimento lateral na rede interna. Acionar imediatamente o processo de resposta a incidentes ao detectar conexões ou atividades de varredura anormais.
-
Implementar a Estratégia de Backup "3-2-1"
- Backups offline são a última linha de defesa. É essencial estabelecer um mecanismo de backup de dados remoto e offline para garantir a recuperação rápida dos negócios através de dados de backup em caso de ataque de ransomware que cause paralisação do sistema, evitando riscos de conformidade e segurança associados ao pagamento de resgate.
-
Treinamento de Conscientização de Segurança
- Realizar treinamento regular de conscientização de segurança para pessoal de operações e desenvolvimento para prevenir ataques de engenharia social e melhorar a capacidade de identificar e-mails de phishing e scripts maliciosos.
IOCs
- SHA256:
76ec12d92fcc371c0d1b7eb168edd50a6f08e3f516cc19fe45e3aff353e54933 - C2:
hxxp://193.143.1[.]139/Ujdu8jjooue/biweax.php - Tor:
http://weaxorpemwzoxg5cdvvfd77p3qczkxqii37ww4foo2n4jcft3mytbpyd[.]onion/lsaHqOhaJLOyrWSPvtJajdzqrftqzOlt/{id} - E-mail:
Datahelper
#cyberfear
