Descobertos quatro grupos de ransomware altamente danosos

Da Redação
24/08/2021

Pesquisadores de cibersegurança removeram nesta terça-feira, 24, quatro novos grupos de ransomware que poderiam representar uma séria ameaça para empresas e organizações que operam infraestruturas críticas, já que o efeito cascata do recente surto de incidentes de ransomware mostra que os invasores estão se tornando mais sofisticados para forçar o pagamento de resgate das vítimas.

“A crise de ransomware parece sempre prestes a piorar, pois o elenco dos grupos de cibercriminosos que causam os maiores danos está mudando constantemente”, disse a equipe de inteligência de ameaças da Unit 42, da Palo Alto Networks, em um relatório recente. “Os grupos às vezes se recolhem quando ganham muita notoriedade e se tornam alvos de órgãos da lei. Outros reiniciam suas operações para torná-las mais lucrativas, revisando suas táticas, técnicas e procedimentos, atualizando seu software e lançando campanhas de marketing para recrutar novos afiliados”, diz o documento.

A descoberta dos novos ransomware vem à medida que os ataques estão crescendo em tamanho e gravidade e evoluindo para além da extorsão financeira e se tornando uma preocupação de segurança nacional, que tem ameaçado escolas, hospitais, empresas e governos em todo o mundo.

Entre os novos atores do cibercrime está o AvosLocker, um grupo de ransomware-as-a-service (RaaS) que iniciou suas operações no final de junho por meio de “comunicados à imprensa” marcados com o logotipo de um besouro azul. O cartel, que também administra um site de vazamento de dados e extorsão, teria violado seis organizações nos Estados Unidos, Reino Unido, Bélgica, Espanha e Líbano, com pedidos de resgate que variam de US$ 50 mil a US$ 75 mil.

Outro novato no cibercrime é o Hive que, apesar de abrir loja na dark web no mesmo mês que AvosLocker, já atingiu vários provedores de saúde e organizações de médio porte, incluindo uma companhia aérea europeia e três entidades sediadas nos Estados Unidos, além de outras vítimas localizadas na Austrália, China, Índia, Holanda, Noruega, Peru, Portugal, Suíça, Tailândia e Reino Unido.

Veja isso
Valor médio de ransomware sobe 82%, para US$ 570 mil
Varejo já é alvo número 1 de ataques de ransomware

Os pesquisadores também detectaram uma nova variante do ransomware para Linux HelloKitty, que ataca servidores Linux que executam o hipervisor ESXi da VMware. “As variantes observadas impactaram cinco organizações na Itália, Austrália, Alemanha, Holanda e EUA”, disseram os pesquisadores da UniT 42, Doel Santos e Ruchna Nigam. “A maior demanda de resgate observada desse grupo foi de US$ 10 milhões, mas o que se sabe é que até o momento os operadores da ameaça receberam apenas três transações que somam cerca de US$ 1,48 milhão”, diz o relatório.

O último a entrar na lista é o LockBit 2.0, um grupo de ransomware estabelecido que ressurgiu em junho com a versão 2.0 de seu programa de afiliados, divulgando seus “benefícios incomparáveis” de “velocidade de criptografia e função de autodifusão”. Os desenvolvedores afirmam que é não apenas “o software de criptografia mais rápido do mundo”, como oferece um ladrão chamado StealBit, que permite que os invasores baixem os dados das vítimas.

Desde sua estreia em junho, o LockBit 2.0 comprometeu 52 organizações das áreas de contabilidade, automotiva, consultoria, engenharia, finanças, alta tecnologia, hospitalidade, seguros, órgãos da lei, serviços jurídicos, manufatura, energia, varejo, transporte e logística indústrias que abrangem Argentina, Austrália, Áustria, Bélgica, Brasil, Alemanha, Itália, Malásia, México, Romênia, Suíça, Reino Unido e Estados Unidos.

O surgimento de novas variantes de ransomware mostra que os cibercriminosos não pretendem reduzir os ataques, diz o relatório, destacando a natureza extremamente lucrativa do crime. “Com grandes grupos de ransomware como REvil e DarkSide se escondendo ou mudando a marca para evitar a polícia e a atenção da mídia, novos grupos surgirão para substituir aqueles que não estão mais alvejando ativamente as vítimas”, disseram os pesquisadores. “Embora LockBit e HelloKitty tenham estado ativos anteriormente, sua evolução recente os torna um bom exemplo de como grupos antigos podem ressurgir e permanecer como ameaças persistentes.”

Compartilhar: