O ecossistema de ransomware mudou significativamente no ano passado, com os invasores mudando de grandes grupos que dominavam o cenário para operações menores de ransomware como serviço (RaaS) em busca de mais flexibilidade e chamando menos atenção das autoridades.
Essa “democratização” do ransomware é uma má notícia para as organizações, porque também traz uma diversificação de táticas, técnicas e procedimentos (TTPs), mais indicadores de comprometimento (IOCs) para rastrear e potencialmente mais obstáculos para superar ao tentar negociar ou pagar resgates.
“Provavelmente podemos datar as mudanças aceleradas do cenário até pelo menos meados de 2021, quando o ataque do ransomware DarkSide que paralisou as operações do oleoduto da Colonial Pipeline e a subsequente remoção de REvil pelas agências de inteligência e órgãos de polícia levaram à dispersão de várias parcerias de ransomware”, disseram pesquisadores da Cisco Talos em seu relatório anual.
De acordo com o estudo, o avanço rápido dos ataques neste ano, quando as atividades de ransomware parecem mais dinâmicas do que nunca, com vários grupos se adaptando ao aumento dos esforços de aplicação da lei e da indústria de cibersegurança, além de brigas internas e ameaças internas e um mercado competitivo, que tem desenvolvedores e operadores mudando sua afiliação continuamente em busca da operação de ransomware mais lucrativa, tem contribuído para a diversificação.
Grandes grupos de ransomware atraem muita atenção
Desde 2019, o panorama do ransomware tem sido dominado por grandes e profissionalizadas operações que constantemente aparecem nas manchetes dos jornais e até buscam a atenção da mídia para ganhar legitimidade com possíveis vítimas. Vimos grupos de ransomware com porta-vozes que ofereceram entrevistas a jornalistas ou emitiram “comunicados à imprensa” no Twitter e seus sites de vazamento de dados em resposta a grandes violações.
O ataque DarkSide contra a Colonial Pipeline, que levou a uma grande interrupção no fornecimento de combustível ao longo da costa leste dos EUA em 2021, destacou o risco que os ataques de ransomware podem ter contra infraestruturas críticas e levou a maiores esforços para combater essa ameaça nos níveis mais altos do governo.
Essa maior atenção das autoridades policiais fez com que os proprietários de fóruns clandestinos de crimes cibernéticos reconsiderassem seu relacionamento com grupos de ransomware, com alguns fóruns proibindo a publicidade de tais ameaças. O DarkSide encerrou suas operações logo em seguida e foi seguido no final do ano pelo grupo REvil, também conhecido como Sodinokibi, cujos criadores foram indiciados e um foi até preso. O REvil foi um dos grupos de ransomware de maior sucesso desde 2019.
A invasão da Ucrânia pela Rússia em fevereiro do ano passado prejudicou o relacionamento entre muitos grupos de ransomware que tinham membros e afiliados na Rússia e na Ucrânia, ou em outros países da ex-União Soviética. Alguns grupos, como o Conti, correram para tomar partido na guerra, ameaçando atacar a infraestrutura ocidental em apoio à Rússia. Isso foi um afastamento da abordagem apolítica usual de negócios, na qual as gangues de ransomware conduziam suas operações e atraíam críticas de outros grupos concorrentes.
Isso também foi seguido por um vazamento de comunicações internas que expôs muitos dos segredos operacionais do Conti e causou desconforto com suas afiliadas. Após um grande ataque contra o governo da Costa Rica, o Departamento de Estado dos EUA ofereceu uma recompensa de US$ 10 milhões por informações relacionadas à identidade ou localização dos líderes do Conti, o que provavelmente contribuiu para a decisão do grupo de encerrar as operações em maio.
O desaparecimento de Conti levou a uma queda na atividade de ransomware por alguns meses, mas não durou muito, pois o vazio foi rapidamente preenchido por outros grupos, alguns deles recém-criados e suspeitos de serem criação de ex-membros do Conti, REvil e outros grupos que encerraram suas atividades nos últimos dois anos.
Veja isso
Lockbit pede a revenda de carros resgate de US$ 60 milhões
Atividade do grupo hacker Conti atinge níveis alarmantes
Principais gangues de ransomware ativas para acompanhar
- LockBit assume a liderança — O LockBit é o principal grupo que intensificou suas operações após o desaparecimento do Conti, renovando seu programa de afiliados e lançando uma versão nova e aprimorada de seu programa de ransomware. Embora esteja em operação desde 2019, foi antes do LockBit 3.0 que esse grupo conseguiu assumir a liderança no cenário de ameaças de ransomware.
De acordo com relatórios de várias empresas de segurança, o LockBit 3.0 foi responsável pelo maior número de incidentes de ransomware durante o terceiro trimestre de 2022 e foi o grupo com o maior número de vítimas listadas em seu site de vazamento de dados durante todo o ano.
O grupo pode ter seus próprios spinoffs (novos grupos) em 2023, já que o construtor do LockBit vazou por um ex-desenvolvedor descontente. Qualquer pessoa agora pode criar sua versão personalizada do programa ransomware. De acordo com a Cisco Talos, um novo grupo de ransomware chamado Bl00dy Gang já começou a usar o construtor LockBit 3.0 vazado em ataques recentes.
- Black Basta, um spin-off do Conti — A terceira gangue de ransomware mais prolífica no ano passado, com base nas observações da Cisco Talos, foi Black Basta, um grupo suspeito de ser um spin-off do Conti, apresentando algumas semelhanças em suas técnicas. O grupo começou a operar em abril, não muito antes do Conti fechar, e desenvolveu rapidamente seu conjunto de ferramentas. O grupo conta com o Trojan Qbot para distribuição e explora a vulnerabilidade PrintNightmare.
A partir de junho, o grupo também introduziu um criptografador de arquivos para sistemas Linux, voltado principalmente para máquinas virtuais VMware ESXi. Essa expansão de plataforma cruzada também foi vista com outros grupos de ransomware, como LockBit e Hive, ambos com criptografadores Linux, ou por ransomware como ALPHV (BlackCat), escrito em Rust, que permite a execução em vários sistemas operacionais.
A Golang, outra linguagem de programação e tempo de execução de plataforma cruzada, também foi adotado por algumas gangues menores de ransomware, como HelloKitty (FiveHands).
- Grupo de ransomware Royal ganhando força — Outro grupo suspeito de ter laços com o Conti e que apareceu no início deste ano é chamado de Royal. Embora inicialmente usasse programas de ransomware de outros grupos, incluindo BlackCat e Zeon, o grupo desenvolveu seu próprio criptografador de arquivos que parece ser inspirado ou baseado no Conti e rapidamente ganhou força, assumindo a liderança do LockBit no número de vítimas em novembro. Nesse ritmo, espera-se que o Royal seja uma das principais ameaças de ransomware em 2023.
- Vice Society tem como alvo o setor educacional — O Royal não é o único exemplo de um grupo de ransomware bem-sucedido que obteve sucesso reutilizando programas de ransomware desenvolvidos por outros. Um desses grupos, chamado Vice Society, é o quarto maior grupo com base no número de vítimas listadas em seu site de vazamento de dados, de acordo com a Cisco Talos. Esse grupo visa principalmente organizações do setor educacional e depende de ramificações de famílias de ransomware pré-existentes, como HelloKitty e Zeppelin.
Mais grupos de ransomware são um desafio para a inteligência em ameaças
“O fim dos grandes monopólios de ransomware apresenta desafios para os analistas de inteligência em ameaças”, disseram os pesquisadores da Cisco Talos. “Ao menos oito grupos representam 75% das postagens em sites de vazamento de dados que a empresa monitora ativamente. O surgimento de novos grupos dificulta a atribuição, pois os adversários trabalham em vários grupos RaaS.”
Alguns grupos, como o LockBit, começaram a introduzir métodos de extorsão adicionais, como ataques DDoS, para forçar suas vítimas a pagar resgates. É provável que essa tendência continue em 2023, com a expectativa de que os grupos de ransomware criem novas táticas de extorsão para monetizar ataques às vítimas onde elas são detectadas antes de implantar a carga útil final do ransomware.Metade dos engajamentos de resposta a incidentes relacionados a ransomware da Cisco Talos estão no estágio pré-ransomware, mostrando que as empresas estão melhorando na detecção de TTPs associados a atividades pré-ransomware.