Ransomwares focam em PMEs para fugir da publicidade e dos aplicadores da lei. LockBit, BlackCat, Swissport, a atividade de ransomware permanece forte!
Os grupos estão reformulando e recalibrando seus perfis e táticas para responder à aplicação da lei e ao foco da comunidade de segurança em impedir ataques de ransomware.
A aplicação da lei, os executivos C-suite e a comunidade de segurança cibernética em geral estão focados em interromper a barragem dispendiosa e disruptiva de ataques de ransomware – e parece estar funcionando, pelo menos até certo ponto. No entanto, movimentos recentes das gangues LockBit 2.0 e BlackCat, além do sucesso deste fim de semana na empresa de logística terrestre de aeroportos Swissport, mostram que o flagelo está longe de terminar.
É mais caro e mais arriscado do que nunca lançar ataques de ransomware, e os grupos de ransomware responderam montando menos ataques com demandas mais altas de ransomware, relatou a Coveware, descobrindo que o pagamento médio de ransomware no quarto trimestre do ano passado aumentou 130% para atingir US$ 322.168 . Da mesma forma, a Coveware encontrou um salto de 63% no pagamento médio do resgate, até US$ 117.116.
Menos ataques, maiores demandas de resgate
“Os pagamentos médios e medianos de resgate aumentaram drasticamente durante o quarto trimestre, mas acreditamos que essa mudança foi impulsionada por uma sutil mudança tática das operações de ransomware como serviço (RaaS) que refletiam os crescentes custos e riscos descritos anteriormente”, disseram analistas da Coveware. “A mudança tática envolve uma tentativa deliberada de extorquir empresas que são grandes o suficiente para pagar um resgate de ‘grande jogo’, mas pequenas o suficiente para manter baixos os custos operacionais do ataque e a atenção resultante da mídia e da aplicação da lei.”
Isso significa que os grupos de ransomware começaram a se concentrar em empresas de pequeno e médio porte para evitar a atenção e publicidade das autoridades, como o que veio com o ataque Colonial Pipeline no ano passado, acrescentou Coveware.
Grupos que procuram diminuir seu perfil
“A proporção de empresas atacadas no número de 1.000 a 10.000 funcionários aumentou de 8% no terceiro trimestre para 14% no quarto trimestre”, descobriram os pesquisadores. “O pagamento médio de resgate apenas neste balde de funcionários foi bem ao norte de um milhão de dólares, o que arrastou a média do quarto trimestre e os valores médios para cima.”
A equipe da Coveware disse esperar que essa tendência provavelmente continue, liderada pelos operadores de ransomware como serviço mais prolíficos: Conti, LockBit 2.0 e Hive. Após as quedas policiais, incluindo o ajuntamento de membros do REvil na Rússia , Coveware previu que esses grupos tentarão manter um perfil baixo.
“Embora todas as operações de RaaS precisem recrutar afiliados, esperamos que os grupos se tornem mais reservados em suas mensagens públicas e mais cuidadosos com as empresas que visam”, acrescentaram os pesquisadores da Coveware. “As lições aprendidas com o ataque ao oleoduto e as recentes prisões do FSB provavelmente manterão algumas das demonstrações mais vibrantes de bravura pública sob controle.”
Mas um perfil mais baixo não significa que os operadores de ransomware ainda não estejam aprimorando suas habilidades.
Rebranding da BlackCat, ameaça de extorsão tripla
A BlackCat, também conhecida como ALPHV, uma operação RaaS iniciante , está em ascensão e recrutando afiliados rapidamente, de acordo com Graham Cluley, da Tripwire, que explicou que o grupo começou a pressionar suas vítimas a pagar, não apenas roubando seus dados e ameaçando liberá-lo, mas também prometendo uma negação de serviço distribuída (DDoS) caso eles se recusem a pagar – uma tática de ransomware conhecida como “ extorsão tripla ”.
Descobertos pela primeira vez pelo MalwareHunterTeam, os operadores do ransomware BlackCat codificado em Rust se autodenominam ALPHV, mas o MalwareHunterTeam os apelidou de BlackCat após a imagem usada na página de pagamento que as vítimas devem visitar no Tor para pagar, informou o Bleeping Computer. O relatório também confirmou que o BlackCat é essencialmente uma nova marca, acrescentando que os membros do grupo confirmaram que eram membros anteriores do grupo BlackMatter/DarkSide .
O LockBit 2.0 é outro grupo que pressiona suas vítimas a pagar com ameaças para liberar os dados de clientes de uma empresa – e também não está tão baixo.
O LockBit 2.0 recentemente recebeu crédito por violar a plataforma de troca de criptomoedas playbito.com, twittou o caçador de ameaças DarkTracer. O pesquisador também postou um aviso do LockBit2.0 de que o grupo publicará os dados pessoais de mais de 100.000 usuários da plataforma, a menos que o resgate seja pago até 21 de fevereiro.
“Clientes dos EUA/dados pessoais do mundo todo, correio/hash, algoritmo tem fraco”, dizia a mensagem. “Administra dados pessoais, e-mails de administrador e hashes. Se você quiser, compre – entre em contato conosco com a TOX.”
No dia seguinte, o FBI divulgou indicadores de comprometimento associados ao LockBit 2.0 e pediu a qualquer um que achasse que poderia ter sido comprometido pelo grupo que contatasse o FBI Cyber Squad imediatamente.
“O FBI está buscando qualquer informação que possa ser compartilhada, incluindo logs de limite mostrando comunicação de e para endereços IP estrangeiros, uma amostra de nota de resgate, comunicações com os agentes da ameaça, informações da carteira Bitcoin, o arquivo descriptografador e/ou uma amostra benigna de um arquivo criptografado”, disse o alerta do FBI, acrescentando que o departamento não incentiva o pagamento de resgates, mas entende que as decisões de negócios precisam ser tomadas para manter as operações em andamento.
Ataque Swissport: Ransomware ainda está forte
Mas mesmo que os operadores de ransomware estejam sentindo uma nova pressão, ataques bem-sucedidos ainda estão sendo realizados regularmente.
Rcentemente a Swissport foi derrubada por um ataque de ransomware que causou o atraso de 22 voos de Zurique, na Suíça, de acordo com uma porta-voz do aeroporto que conversou com o Der Speigel.
Linha inferior? Por enquanto, o ransomware veio para ficar, mas evoluindo.
A pesquisa mais recente da Trellix sugere que, em 2022, os serviços financeiros serão bombardeados com ataques de ransomware . Do segundo ao terceiro trimestre de 2021, os ataques ao setor financeiro e de seguros aumentaram 21%, seguidos por um aumento de apenas 7% nos ataques à saúde, observou a empresa.
“No terceiro trimestre de 2021, grupos de ransomware de alto perfil desapareceram, reapareceram, reinventaram e até tentaram renomear, permanecendo relevantes e predominantes como uma ameaça popular e potencialmente devastadora contra um espectro crescente de setores”, disse Raj Samani, cientista-chefe da Trellix. disse.
Fonte: Threatpost
Veja também:
- Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021
- Hardening: o que é? porquê fazer? qual o padrão recomendado?
- Importância da linguagem de Programação de Baixo Nível
- Folha de dicas do Burp Suite
- Crime Shop vende logins hackeados para outras lojas do crime
- Simulação de phishing mostra que esses ataques permanecem efetivos
- Wazuh pode melhorar a segurança digital para empresas
- Equipe de TI e DevOps é mais propensa a clicar em links de phishing
- Hackers usam o MS OneDrive para C2 em ataques persistentes
- Vulnerabilidade de 12 anos permite escalonar privilégios de root
- HTTP Wormable do Windows – o que você precisa saber
- Kali Linux Cheat Sheet, saiba mais sobre os utilitários do pacote
Deixe sua opinião!