O aumento dos ataques de ransomware pode ter relação direta com o crescimento da oferta de ransomware-as-a-service (RaaS, ou ransomware como serviço), modelo de negócio criado por grupos de hackers em que um tipo de ransomware é vendido e espalhado por meio de vários distribuidores que atuam na dark web, com o criador recebendo uma parte do lucro. Um levantamento recente da BlackBerry mostra que o modelo RaaS está sendo utilizado agora em campanhas de phishing e espionagem digital.
Relatório publicado pela equipe de pesquisa e inteligência da BlackBerry revela as atividades ilegais de uma campanha de ciberespionagem que acompanha há seis meses. A campanha, apelidada pelos pesquisadores de CostaRicto, é aparentemente operada por um grupo de mercenários APT chamado de “hackers de aluguel” que desenvolve ferramentas de malware sob medida e proxy VPN complexo e recursos de tunelamento SSH.
As principais conclusões do relatório são que os alvos da CostaRicto podem ser encontrados em todo o mundo: na Europa, Américas, Ásia, Austrália e África. No entanto, a maioria dos alvos está concentrada no Sul da Ásia, particularmente na Índia, Bangladesh e Cingapura.
Os pesquisadores dizem que esses dados podem sugerir que o autor da ameaça por trás da campanha está baseado na região, mas está vendendo seus serviços no mercado internacional via dark web.
Veja isso
Trend Micro analisa trajetória do Encryptor RaaS
Novo ransomware como serviço dá desconto a cibercriminosos
Os servidores de comando e controle (C2) utilizados pela CostaRicto são gerenciados via rede Tor ou por meio de uma camada de proxies. O invasor pratica uma “segurança de operação melhor do que a média”, criando uma rede complexa de túneis SSH estabelecidos no ambiente da vítima.
Um tipo de malware que não foi visto antes é usado para criar uma backdoor na rede da vítima. Os pesquisadores descreveram o malware como “uma ferramenta personalizada com um nome de projeto sugestivo, código bem estruturado e sistema de controle de versão detalhado”.
Quem criou o projeto de backdoor o chamou de Sombra, uma referência a um personagem do videogame Overwatch que se especializou em avaliação de inteligência e espionagem e é conhecido por suas habilidades de hacker.
O malware parece ter sido lançado em outubro de 2019, mas os números da versão sugerem que o projeto ainda está na fase de teste de depuração. Os pesquisadores encontraram indícios de que a operação pode ter durado ainda mais tempo. “Os carimbos de data e hora dos estágios de carga útil remontam a 2017, o que pode sugerir que a operação em si já existe há um bom tempo, mas costumava entregar uma carga diferente”, disseram.
Um endereço IP para o qual os domínios backdoor foram registrados se sobrepõe a uma campanha de phishing preexistente atribuída ao APT28, grupo hacker mais conhecido como Fancy Bear. No entanto, os pesquisadores acreditam ser muito improvável que exista uma ligação direta entre o CostaRicto e esse grupo de ameaças persistentes avançadas em particular.
