O notório sindicato de cibercriminosos compete com Conti e Lockbit 3.0. Eles introduziram uma busca avançada pelas senhas da vítima roubada, e documentos confidenciais vazaram na rede TOR.
A Resecurity (EUA), uma empresa de segurança cibernética com sede em Los Angeles que protege as empresas da Fortune 500, detectou um aumento significativo no valor dos pedidos de solicitação de resgate pela notória gangue de ransomware Blackcat. De acordo com especialistas, o notório sindicato de cibercriminosos compete ativamente com Conti e o Lockbit 3.0 atualizado, e recentemente introduziu uma busca pelas senhas da vítima roubada, e documentos confidenciais vazados na rede TOR.
Com base nas vítimas recentemente comprometidas com sede na região nórdica (que ainda não foram divulgadas pelo grupo), o valor a ser pago excede US$ 2 milhões. Uma das táticas usadas oferece cerca de 50% de desconto para a vítima no caso em que ela está disposta a pagar – várias exigências de resgate avaliadas em US$ 14 milhões foram reduzidas para US$ 7 milhões, mas esses valores ainda são complicados para empresas que enfrentam incidentes de segurança cibernética. O pedido de resgate mais comum praticado pela BlackCat saltou para US$ 2,5 milhões e parece que sua trajetória só vai crescer.
O pagamento médio de ransomware subiu 82% desde 2020 para um recorde de US $ 570.000 no primeiro semestre de 2021, e então em 2022 quase dobrou. A previsão mais recente é que a atividade global de extorsão de ransomware atinja US$ 265 bilhões até 2031, com danos totais para empresas avaliadas em US$ 10,5 trilhões globalmente. Essas métricas indicam que o ransomware é a maior “economia sombra” do mundo, gerando danos de gastos mais do que desastres naturais.
A BlackCat opera desde pelo menos novembro de 2021, e lançou grandes ataques em janeiro para interromper a OilTanking GmbH, uma empresa alemã de combustíveis, e em fevereiro de 2022, o ataque a uma empresa de aviação, a Swissport. O grupo tem como alvo negócios de alto perfil em setores críticos, incluindo energia, instituições financeiras, serviços jurídicos e tecnologia.
O ransomware Blackcat é um dos grupos subterrâneos do Ransomware as-a-Service (RaaS) que mais crescem praticando a chamada “extorsão quádrupla” pressionando as vítimas a pagar – aproveitando criptografia, roubo de dados, negação de serviço (DoS) e assédio.
O BlackCat também é conhecido como “ALPHV”, ou “AlphaVM” e “AphaV”, uma família de ransomware criada na linguagem de programação Rust. O líder do grupo com pseudônimos idênticos em comunicações em fóruns da Dark Web descreveu Rust como uma das vantagens competitivas de seu armário em comparação com Lockbit e Conti. Apesar do fato de Blackcat e Alpha terem URLs completamente diferentes na TOR Network, os cenários de script usados em suas páginas são idênticos, e provavelmente desenvolvidos pelos mesmos atores. Ambos os projetos estão usando um conjunto avançado de ofuscação baseada em JS para proteger a página de análises gerenciadas por 3 scripts escritos da mesma forma.
O grupo foi pioneiro na busca nos dados roubados indexados – permitindo que clientes e funcionários das empresas afetadas verificassem dados expostos. Essa abordagem é usada como um dos catalisadores para outras ações coletivas que poderiam ser apresentadas por indivíduos infelizes que verão seus dados ou comunicações afetados devido à falta de segurança da informação causada por violações de dados. Em um post recente de 10 jul 2022, 15:35 pm na Dark Web, “ALPHV” introduziu a pesquisa não apenas por assinaturas de texto, mas também suporte tags para pesquisa de senhas e PII comprometido. Parece que alguns dos arquivos roubados ainda estão em indexação, mas a maioria já está disponível para navegação rápida. Foram identificados mais de 2.270 documentos indexados contendo credenciais de acesso e informações de senha em plaintext, e mais de 100.000 documentos contendo marcação confidencial, incluindo comunicações de e-mail indexadas e anexos confidenciais.
A ALPHV parece estar competindo significativamente com lockbit 3.0 e Conti – outro sindicato de ransomware que ativamente desenvolveu sindicatos de ransomware que chamaram ALPHV de “golpistas”. Provavelmente, a declaração está relacionada a alguns conflitos e questões entre afiliados e membros da equipe que poderiam estar associados a ambos os projetos em diferentes estágios.
O ALPHV foi associado a outros dois grupos de ransomware: DarkSide e BlackMatter. Sobreposições de design entre ALPHV e DarkSide provocaram rumores de que a ALPHV era uma remarcação da DarkSide. Em fóruns subterrâneos de cibercriminosos, o representante do ransomware “LockBit” também iniciou tópicos afirmando que a ALPHV era uma remarcação dos programas DarkSide e BlackMatter RaaS. Embora a ALPHV negou ser uma remarcação de DarkSide ou BlackMatter, desenvolvedores e lavadores de dinheiro da ALPHV estão ligados ao DarkSide/BlackMatter, de acordo com o FBI. Portanto, embora o ALPHV possa não ser uma remarcação, é provável que o grupo tenha recrutado muitos membros dessas gangues de ransomware agora inativos.
O grupo publicou novas vítimas – “COUNT+CARE” Gmbh (uma empresa de tecnologia da informação e serviços da Alemanha), seguindo o Dusit D2 Kenz Hotel em Dubai, Sinclair Wilson (uma empresa de serviços de contabilidade e gestão de riqueza da Austrália) e Adler Display fora de Baltimore, Maryland.
FONTE: HELPNET SECURITY