LockBit, BlackCat, Swissport, Oh My! A atividade do Ransomware permanece forte

Views: 362
0 0
Read Time:5 Minute, 27 Second

No entanto, os grupos estão rebranding e recalibrando seus perfis e táticas para responder às autoridades e ao foco da comunidade de segurança em parar ataques de ransomware.

A aplicação da lei, os executivos da suíte C e a comunidade de segurança cibernética em geral têm sido focados em parar a barragem cara e disruptiva de ataques de ransomware — e parece estar funcionando, pelo menos até certo ponto. No entanto, movimentos recentes das gangues LockBit 2.0 e BlackCat, além do sucesso deste fim de semana na empresa de logística terrestre do aeroporto de Swissport, mostra que o flagelo está longe de acabar.

É mais caro e arriscado do que nunca lançar ataques de ransomware, e grupos de ransomware responderam aumentando menos ataques com maiores demandas de ransomware, informou a Coveware, descobrindo que o pagamento médio de ransomware no quarto trimestre do ano passado subiu 130% para atingir US$ 322.168. Da mesma forma, a Coveware encontrou um salto de 63% no pagamento médio do resgate, até US$ 117.116.

Menos ataques, maiores exigências de resgate

“Os pagamentos médios e medianos de resgate aumentaram drasticamente durante o quarto trimestre, mas acreditamos que essa mudança foi impulsionada por uma mudança tática sutil por operações de ransomware como serviço (RaaS) que refletiam os custos e riscos crescentes descritos anteriormente”, disseram analistas da Coveware. “A mudança tática envolve uma tentativa deliberada de extorquir empresas que são grandes o suficiente para pagar uma quantia de resgate de ‘grande jogo’, mas pequena o suficiente para manter os custos operacionais de ataque e a atenção da mídia e da aplicação da lei baixas.”

Isso significa que os grupos de ransomware começaram a se concentrar em pequenas e médias empresas para evitar a atenção e publicidade da aplicação da lei, como o que veio com o ataque do Colonial Pipeline no ano passado, acrescentou Coveware.

Grupos que procuram diminuir seu perfil

“A proporção de empresas atacadas na contagem de 1.000 a 10.000 funcionários aumentou de 8% no terceiro trimestre para 14% no quarto trimestre”, descobriram os pesquisadores. “O pagamento médio de resgate apenas neste balde de funcionários foi bem ao norte de um milhão de dólares, o que arrastou a média do 4º trimestre e os valores médios mais altos.”

A equipe da Coveware disse que espera que essa tendência provavelmente continue, liderada pelos operadores de ransomware como serviço mais prolíficos por aí: Conti, LockBit 2.0 e Hive. Após as desocimentos da aplicação da lei, incluindo o recolhimento da Rússia de membros do REvil, Coveware previu que esses grupos tentarão manter um perfil discreto.

“Embora todas as operações da RaaS precisem recrutar afiliados, esperamos que os grupos se tornem mais reservados em suas mensagens públicas e mais cuidadosos sobre quais empresas eles visam”, acrescentaram os pesquisadores da Coveware. “As lições aprendidas com o ataque ao oleoduto e as recentes prisões da FSB provavelmente manterão algumas das exibições mais vibrantes de bravata pública sob controle.”

Mas um perfil mais baixo não significa que os operadores de ransomware ainda não estão aprimorando suas habilidades.

BlackCat’s Rebrand, Ameaça de Extorsão Tripla

A BlackCat, também conhecida como ALPHV, uma operação inicial da RaaS, está em ascensão e recrutando rapidamente afiliados, de acordo com Graham Cluley, da Tripwire, que explicou que o grupo começou a aumentar a pressão para que suas vítimas paguem não apenas roubando seus dados e ameaçando liberá-los, mas também prometendo uma incapacitante negação de serviço distribuída (DDoS) caso eles se recusassem a pagar — uma tática de ransomware conhecida como “extorsão tripla“.

Descobertos pela primeira vez pelo MalwareHunterTeam, os operadores do ransomware BlackCat codificado por Ferrugem se autodenominam ALPHV, mas o MalwareHunterTeam os apelidou de BlackCat após a imagem usada na página de pagamento que as vítimas devem visitar no Tor para pagar, informou o Bleeping Computer. O relatório também confirmou que a BlackCat é essencialmente uma remarca, acrescentando que os membros do grupo confirmaram que eram membros anteriores do grupo BlackMatter/DarkSide.

O LockBit 2.0 é outro grupo que aumenta a pressão sobre suas vítimas para pagar com ameaças de liberar os dados dos clientes de uma empresa — e também não tem sido tão baixo.

LockBit 2.0 recentemente levou crédito por violar a plataforma de troca de criptomoedas playbito.com, o caçador de ameaças DarkTracer tuitou. O pesquisador também postou um aviso do LockBit2.0 de que o grupo publicará os dados pessoais de mais de 100.000 usuários da plataforma, a menos que o resgate seja pago até 21 de fevereiro.

“Clientes dos EUA/WorldWide dados pessoais, correio/hash, fraco tem algoritmo”, dizia a mensagem. “Administradores de dados pessoais, e-mails administrativos e hashes. Se você quiser comprá-lo – entre em contato conosco com a TOX.”

No dia seguinte, o FBI colocou indicadores de compromisso associados ao LockBit 2.0 e pediu a qualquer um que acha que poderia ter sido comprometido pelo grupo para entrar em contato com o Esquadrão Cibernético do FBI imediatamente.

“O FBI está buscando qualquer informação que possa ser compartilhada, para incluir registros de limites mostrando comunicação de e para endereços IP estrangeiros, uma nota de resgate de amostra, comunicações com os atores de ameaça, informações da carteira bitcoin, o arquivo descriptografia e/ou uma amostra benigna de um arquivo criptografado”, disse o alerta do FBI, acrescentando que o departamento não incentiva o pagamento de resgates, mas entende que as decisões de negócios precisam ser tomadas para manter as operações em andamento.

Ataque na Swissport: Ransomware continua forte

Mas mesmo que os operadores de ransomware estejam sentindo uma nova pressão, ataques bem-sucedidos ainda estão sendo retirados regularmente.

No fim de semana, a Swissport foi derrubada por um ataque de ransomware que causou o atraso de 22 voos saindo de Zurique, na Suíça, de acordo com um porta-voz do aeroporto que falou com Der Speigel.

Ponto-chave? Por enquanto, o ransomware está aqui para ficar, mas evoluindo.

A última pesquisa da Trellix sugere que, em 2022, os serviços financeiros serão bombardeados com ataques de ransomware. Do segundo ao terceiro trimestre de 2021, os ataques ao setor financeiro e de seguros aumentaram 21%, seguidos por apenas um aumento de 7% nos ataques de saúde, observou a empresa.

“No terceiro trimestre de 2021, grupos de ransomware de alto perfil desapareceram, reapareceram, reinventaram e até tentaram renomear, mantendo-se relevantes e prevalentes como uma ameaça popular e potencialmente devastadora contra um espectro crescente de setores”, disse o cientista-chefe da Trellix, Raj Samani.

FONTE: THREATPOST

POSTS RELACIONADOS