Grupo de Ransomware-as-a-service, Ransom Cartel, pode ter ligações com REvil

20/10/2022 mindsecblog Notícias 0

Grupo de Ransomware-as-a-service, Ransom Cartel, pode ter ligações com REvil, segundo o grupo Unit 42 da Palo Alto Networks.

A Unit 42 divulgou na sexta-feira, 14 de outubro, um relatório sobre o Ransom Cartel, um grupo de ransomware como serviço (RaaS) que aproveita ataques de extorsão dupla e tem várias semelhanças e sobreposições técnicas com o ransomware REvil .

REvil era mais conhecido por fornecer aos hackers da Kas e ya, JBS e HX5 a capacidade de lançar ataques.

Em uma postagem no blog , os pesquisadores da Unit 42 da Palo Alto Networks disseram que os operadores do Ransom Cartel claramente têm acesso ao código-fonte original do ransomware REvil. No entanto, como eles provavelmente não têm o mecanismo de ofuscação usado para criptografar strings e ocultar chamadas de API, a Unit 42 especula que o Ransom Cartel teve um relacionamento com o grupo REvil em um ponto antes de iniciar sua própria operação.

Enquanto o Ransom Cartel usa extorsão dupla e alguns dos mesmos TTPs, a Unit 42 geralmente observa durante ataques de ransomware, esse tipo de ransomware usa ferramentas menos comuns – DonPAPI , por exemplo – que os pesquisadores não observaram em outros ataques de ransomware.

Os pesquisadores disseram que o Ransom Cartel normalmente obtém acesso inicial a um ambiente por meio de credenciais comprometidas, uma maneira muito comum de o operador de ransomware obter acesso. Isso inclui credenciais de acesso para serviços remotos externos, protocolo de área de trabalho remota, protocolo de shell seguro e redes privadas virtuais. Essas credenciais estão amplamente disponíveis na dark web e oferecem aos agentes de ameaças uma maneira confiável de obter acesso a redes corporativas.

Rise of Ransom Cartel coincide com prisões do REvil

O Ransom Cartel surgiu pela primeira vez em meados de dezembro de 2021, enquanto o REvil ransomware desapareceu apenas alguns meses antes do Ransom Cartel aparecer e apenas um mês depois que 14 de seus supostos membros foram presos na Rússia , disseram os pesquisadores. A Unit 42 observou o Ransom Cartel alegando ter violado organizações nos Estados Unidos e na França visando os seguintes setores: educação, manufatura, serviços públicos e energia.

“Esse novo grupo de resgate está usando uma tática há muito conhecida, mas difícil de resolver, de usar ferramentas de TI contra defensores“, disse David Maynor, diretor sênior de inteligência de ameaças da Cybrary. Maynor disse que a maioria das organizações tem alguma forma de análise de arquivos, e os arquivos maliciosos dos invasores podem se destacar e ser facilmente removidos, “mas o uso de ferramentas de TI reais dá uma cobertura aos invasores: o arquivo é malicioso e pode causar confusão para os analistas de segurança, que hesitam em excluir ferramentas onde tais ações que podem prejudicar ou derrubar ambientes”, disse Maynor.

Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, acrescentou que os grupos avançados de ameaças persistentes estão constantemente evoluindo suas táticas e ferramentas para tentar contornar as defesas de seus alvos. Parkin disse que eles também evoluem à medida que grupos antigos se fragmentam ou geram novas gerações, e novos grupos entram em uma indústria infelizmente lucrativa, e isso sem contar o Estado e os atores patrocinados pelo Estado cujas atividades cibercriminosas são um efeito colateral ou encobrem seus agenda maior.

“As organizações precisam pelo menos estabelecer linhas de base construídas em torno das melhores práticas do setor”, disse Parkin. “Mesmo com ameaças em evolução recente e o crime como serviço dividindo as responsabilidades entre os corretores, o básico tornará o trabalho do invasor mais difícil. Um ecossistema sólido com proteções de borda robustas, defesas de endpoints, segmentação de rede, sistemas de detecção que possam identificar movimentos laterais e atividades suspeitas, com boa educação do usuário e um sólido programa de gerenciamento de riscos, são todos necessários. Não existem balas mágicas.”