O número de ataques de ransomware em julho aumentou mais de 150% na comparação com o mesmo mês do ano passado e os operadores do ransomware Clop foram responsáveis por mais de um terço desses incidentes. A gangue assumiu a liderança do LockBit como a principal ameaça de ransomware depois de explorar uma vulnerabilidade de dia zero no aplicativo de transferência de arquivos MOVEit em junho.
O Grupo NCC registrou 502 ataques relacionados a ransomware em julho, um aumento de 16% em relação aos 434 contabilizados em junho e de 154% na comparação com os 198 ataques vistos em julho de 2022. A gangue Clop foi responsável por 171 (34%) dos 502 ataques, enquanto o LockBit ficou em segundo lugar com 50 ataques (10%).
Embora os ataques ao aplicativo tenham sido usados para roubo de dados e subsequente extorsão, eles não envolveram a implantação do ransomware em si, ainda que seus operadores estejam associados ao Clop e tenham recebido o crédito pela campanha.
Depois que a notória gangue Conti se desfez, LockBit passou a reinar absoluto no “mercado” de ransomware, assumindo o comando desde meados do ano passado. Os operadores do ransomware renovaram seu programa de afiliados para preencher a lacuna e atrair ex-parceiros do Conti. As operações de ransomware como serviço (RaaS), como o LockBit, dependem de colaboradores chamados afiliados para invadir redes corporativas e implantar o programa de ransomware em troca de uma grande porcentagem dos pagamentos de resgates.
O Clop também é uma operação RaaS que existe desde 2019 e antes disso atuava como broker (corretor) de acesso inicial (IAB) vendendo acesso a redes corporativas comprometidas para outros grupos. Também operava uma grande botnet especializada em fraudes financeiras e phishing. De acordo com um comunicado da Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, a gangue Clop e suas afiliadas comprometeram mais de 3 mil organizações nos EUA e mais de 8 mil em todo o mundo até o momento.
Os operadores do Clop são conhecidos por sua capacidade de desenvolver explorações de dia zero para softwares empresariais populares, especialmente aplicativos de transferência de arquivos. O grupo explorou dispositivos Accellion File Transfer Appliance (FTA) em 2020 e 2021, servidores Fortra/Linoma GoAnywhere MFT no início deste ano e implantações de transferência MOVEit em junho, uma campanha de ataque que se acredita ter afetado até 500 organizações.
“Algumas pessoas na indústria notaram que o ataque e seu impacto em larga escala marcam uma mudança no modelo de ransomware”, disse a equipe de Threat Intelligence da NCC. “O foco do Clop era extorquir dados do ambiente do MOVEit, usando isso para extorquir organizações implicadas.”
Veja isso
Gangue Clop agora usa sites torrent para vazar dados
Clop pode lucrar até US$ 100 mi com ataques ao MOVEit
De acordo com os dados de julho da NCC, as organizações norte-americanas permaneceram no topo da lista de alvos dos operadores de ransomware, sendo alvo de 274 (55%) dos ataques observados. A Europa foi a segunda região mais visada, seguida pela Ásia, em terceiro.
O setor industrial — bens e serviços profissionais — continuou a ser o alvo principal, não apenas para grupos de ransomware, mas também para outros operadores de ameaças, incluindo os patrocinados por governos, porque detêm uma grande quantidade de informações sensíveis e de propriedade intelectual.
O setor foi alvo de 155 (31%) dos ataques de ransomware vistos em julho e as três principais gangues de ransomware de julho — Clop, LockBit e 8Base — foram responsáveis por 48% dos ataques contra empresas deste espaço. O segundo setor mais visado foi o de consumo cíclico (16%), seguido por tecnologia (14%), segundo a NCC.
