0
0
Descontinuidade de grandes grupos de ransomware, como Conti e REvil, deu origem a gangues menores, o que representa um desafio às equipes de inteligência em ameaças
O cenário do ransomware está mais dinâmico do que nunca, com vários grupos se adaptando ao aumento dos esforços de órgãos de aplicação da lei e da indústria privada, de acordo com um relatório da Cisco Talos. O documento observa que o ecossistema de ransomware mudou significativamente no ano passado, com os invasores mudando de grandes grupos que dominavam o cenário para operações menores de ransomware como serviço (RaaS) em busca de mais flexibilidade e chamando menos atenção das autoridades.
Essa democratização do ransomware, segundo pesquisadores da Cisco Talos, é uma má notícia para as organizações, porque também trouxe uma diversificação de táticas, técnicas e procedimentos (TTPs), mais indicadores de comprometimento (IOCs) para rastrear e potencialmente mais obstáculos para superar ao tentar negociar ou pagar resgates.
“Provavelmente podemos datar as mudanças aceleradas do cenário até ao menos meados de 2021, quando o grupo de ransomware DarkSide atacou o oleoduto da Colonial Pipeline, e a subsequente remoção de REvil pela aplicação da lei levaram à dispersão de várias parcerias de ransomware”, disseram os pesquisadores da Cisco Talos. “Prevemos um avanço rápido para este ano, com vários desenvolvedores e operadores mudando sua afiliação continuamente, em busca da operação de ransomware mais lucrativa.”
Desde 2019, o cenário do ransomware tem sido dominado por grandes e profissionalizados grupos de ransomware que constantemente aparecem nas manchetes dos jornais e até buscam a atenção da mídia para ganhar legitimidade com possíveis vítimas. Vimos grupos de ransomware com porta-vozes que ofereceram entrevistas a jornalistas ou emitiram “comunicados à imprensa” no Twitter e seus sites de vazamento de dados em resposta a grandes violações.
O ataque do DarkSide contra a Colonial Pipeline, que levou a uma grande interrupção no fornecimento de combustível ao longo da costa leste dos EUA em 2021, destacou o risco que os ataques de ransomware podem ter contra a infraestrutura crítica e levou a maiores esforços para combater essa ameaça nos níveis mais altos do governo. Essa maior atenção das autoridades policiais fez com que os proprietários de fóruns clandestinos de crimes cibernéticos reconsiderassem seu relacionamento com grupos de ransomware, com alguns fóruns proibindo a publicidade de tais ameaças. DarkSide encerrou suas operações logo em seguida e foi seguido no final do ano pelo REvil, também conhecido como Sodinokibi, cujos criadores foram indiciados e um foi até preso. O REvil foi um dos grupos de ransomware de maior sucesso desde 2019.
A invasão da Ucrânia pela Rússia em fevereiro de 2022 prejudicou o relacionamento entre muitos grupos de ransomware que tinham membros e afiliados na Rússia e na Ucrânia, ou em outros países da ex-União Soviética. Alguns grupos, como o Conti, correram para tomar partido na guerra, ameaçando atacar a infraestrutura ocidental em apoio à Rússia. Isso foi um afastamento da abordagem apolítica usual de negócios, na qual as gangues de ransomware conduziam suas operações e atraíam críticas de outros grupos concorrentes.
Isso também foi seguido por um vazamento de comunicações internas que expôs muitos dos segredos operacionais da Conti e causou desconforto com suas afiliadas. Após um grande ataque contra o governo da Costa Rica, o Departamento de Estado dos EUA ofereceu uma recompensa de US$ 10 milhões por informações relacionadas à identidade ou localização dos líderes do Conti, o que provavelmente contribuiu para a decisão do grupo de encerrar as operações em maio.
O desaparecimento do Conti levou a uma queda na atividade de ransomware por alguns meses, mas não durou muito, pois o vazio foi rapidamente preenchido por outros grupos, alguns deles recém-criados e suspeitos de serem criação de ex-membros do Conti, REvil e outros grupos que encerraram suas atividades nos últimos dois anos.
O LockBit é o principal grupo que intensificou suas operações após o desligamento do Conti, renovando seu programa de afiliados e lançando uma versão nova e aprimorada de seu programa de ransomware. Embora esteja em operação desde 2019, não foi até o LockBit 3.0 que esse grupo conseguiu assumir a liderança no cenário de ameaças de ransomware.
De acordo com relatórios de várias empresas de segurança, o LockBit 3.0 foi responsável pelo maior número de incidentes de ransomware durante o terceiro trimestre de 2022 e foi o grupo com o maior número de vítimas listadas em seu site de vazamento de dados durante todo o ano. Esse grupo pode ter seus próprios spinoffs em 2013, já que o código do LockBit foi vazado por um ex-desenvolvedor descontente. Qualquer pessoa agora pode criar sua versão personalizada do programa ransomware.
Mas o grupo que fez o maior número de vítimas em 2022 depois do LockBit, de acordo com a Cisco Talos, é o Hive. Essa foi a principal família de ransomware observada durante as operações de resposta a incidentes da Cisco Talos e a terceira na lista de casos de resposta a incidentes da Palo Alto Networks, depois do Conti e do LockBit.
A terceira gangue de ransomware mais prolífica no ano passado, com base nas observações da Cisco Talos, foi a do Black Basta, um grupo suspeito de ser um spin-off do Conti, apresentando algumas semelhanças em suas técnicas. O grupo começou a operar em abril de 2022, não muito antes de o Conti fechar, e desenvolveu rapidamente seu conjunto de ferramentas. O grupo conta com o trojan Qbot para distribuição e explora a vulnerabilidade PrintNightmare.
Outro grupo suspeito de ter laços com Conti e apareceu no início de 2022 é chamado Royal. Embora inicialmente usasse programas de ransomware de outros grupos, incluindo BlackCat e Zeon, o grupo desenvolveu seu próprio criptografador de arquivos que parece ser inspirado ou baseado em Conti e rapidamente ganhou força, assumindo a liderança do LockBit no número de vítimas em novembro. Nesse ritmo, espera-se que o Royal seja uma das principais ameaças de ransomware em 2023.
A Royal não é o único exemplo de um grupo de ransomware bem-sucedido que obteve sucesso reutilizando programas de ransomware desenvolvidos por outros. Um desses grupos, chamado Vice Society, é o quarto maior grupo com base no número de vítimas listadas em seu site de vazamento de dados, de acordo com a Cisco Talos. Esse grupo visa principalmente organizações do setor educacional e depende de ramificações de famílias de ransomware pré-existentes, como HelloKitty e Zeppelin.
“O fim dos grandes monopólios de ransomware apresenta desafios para os analistas de inteligência em ameaças”, dizem os pesquisadores da Cisco Talos. “Pelo menos oito grupos representam 75% das postagens em sites de vazamento de dados que a Cisco monitora ativamente. O surgimento de novos grupos dificulta a atribuição, pois os adversários trabalham em vários grupos RaaS.
FONTE: CISO ADVISOR