A onda recente de operações policiais contra gangues de ransomware levou à diminuição de pagamentos de resgates e das atividades dos operadores desse tipo de malware no curto prazo, forçando os afiliados desses grupos a se diversificarem. Esta é uma das conclusões do um novo relatório da empresa de pesquisa e análise de blockchain Chainalysis, publicado durante a Conferência RSA nesta segunda-feira, 6.
No relatório, a Chainalysis registrou evidências de uma redução na lucratividade das operações de ransomware após recentes remoções das infraestruturas de grupos de ransomware resultantes de operações policiais, como QakBot, ALPHV/BlackCat e LockBit. No entanto, o estudo também descobriu que a persistência dos afiliados a grupos de ransomware desafia a eficácia duradoura dessas operações.
A principal forma de esses grupos afiliados permanecerem lucrativos é diversificar os grupos com os quais trabalham. A Chainalysis descobriu que os afiliados de ransomware usaram mais cepas de ransomware durante os dois primeiros trimestres deste ano do que em períodos anteriores de 2023. “Isso pode significar que os afiliados expostos à interrupção estão testando novas cepas, afastando-se das cepas que foram interrompidas ou talvez atuando por conta própria”, observa a Chainalysis.
A empresa acrescenta que, uma vez que a dinamização é relativamente fácil e de baixo custo para os afiliados de ransomware, os órgãos de aplicação da lei poderiam dar ênfase a ações que aumentem os riscos percebidos, a desconfiança e o tempo de inatividade operacional dos afiliados, a fim de criar um impacto mais duradouro em suas operações.
O Qabot, por exemplo — também conhecido como Qbot ou Pinkslipbot —, ativo desde aproximadamente 2008, originou-se como um trojan bancário com keylogging e técnicas sofisticadas de phishing projetadas para roubar credenciais financeiras. Ao longo dos anos, evoluiu significativamente e expandiu as suas capacidades maliciosas, normalmente orquestradas por grupos como TA570 e TA577.
Esse amplo alcance, alcançado por meio de uma botnet expansiva para comunicação primária de comando e controle, enfrentou um grande revés com a derrubada histórica de sua infraestrutura anunciada pelo Departamento de Justiça (DoJ) dos EUA em agosto de 2023. A operação batizada de Duck Hunt erradicou com sucesso o malware associado a botnet Qakbot formada por mais de 700 mil sistemas e recuperou milhões em criptomoedas extorquidas. A ação foi realizada pelo FBI em colaboração com agências internacionais de aplicação da lei e apoiada por parceiros do setor privado.
No entanto, vários grupos de ransomware de alto perfil, como Conti, Black Basta e REvil, foram observados usando o Qakbot por meio de intermediários — os initial access brokers (IABs) — como rota preliminar de infecção. Essas atividades causaram danos extensos, afetando entidades que vão desde empresas, sistemas de saúde e agências governamentais.
No esquema abaixo um exemplo da carteira do administrador Qakbot recebendo a porcentagem nos lucros do ransomware, direta e indiretamente.
Cepas de ransomware como Conti, Prolock, Quantum, Sodinokibi/REvil e Black Basta aproveitaram o carregador em ataques de ransomware bem-sucedidos. Embora o Black Basta tenha arrecadado mais de US$ 150 milhões em pagamentos de ransomware em 2023, sem a interrupção do Qakbot, o custo certamente teria sido muito maior. Como mostra o gráfico abaixo, houve um declínio acentuado nos pagamentos do ransomware Black Basta em junho de 2023, após os meses de pico de abril e maio.
A atividade parece ter aumentado novamente alguns meses mais tarde, à medida que o Black Basta encontrou alternativas, mas as perdas são inegáveis. Desde agosto, quando a remoção do Qakbot foi anunciada, houve um desempenho inferior significativo ano após ano do Black Basta na comparação com 2022. Mas, apesar da derrubada do Qakbot, as evidências mostram que o Black Basta se transformou em um novo malware e está de volta. Na verdade, o número de transferências associadas ao Black Basta está registando picos históricos.
LockBit, um grupo que não desiste nunca
Observado pela primeira vez em 2020, o LockBit opera como um ransomware como serviço (RaaS), permitindo que afilados usem seu malware para lançar ataques que criptografam e potencialmente vazam dados das vítimas, a menos que um resgate seja pago. Reconhecido como a cepa de ransomware mais prolífica devido à sua baixa barreira de entrada, o Lockbit foi responsável por 21% das postagens em sites de vazamento de dados no ano passado, de acordo com a Recorded Future.
Em Fevereiro deste ano, a Agência Nacional do Crime (NCA) do Reino Unido em conjunto com agências internacionais de aplicação da lei, apoiadas por empresa de cibersegurança do sector privado, realizaram a Operação Cronos, assumindo com sucesso o controle dos sites do LockBit na dark web juntamente com a sua infraestrutura de hacking. A operação também resultou no confisco de seu código-fonte e contas de criptomoeda. Além disso, a NCA também recuperou mais de mil chaves de descriptografia para ajudar as vítimas a recuperar dados criptografados. Dois indivíduos foram presos e sanções foram impostas a afiliados russos do LockBit.
Veja isso
Site do LockBit é restaurado pela polícia, com novas revelações
Qbot lidera ranking nacional de malware há sete meses
De acordo com o FBI, o LockBit estava ligado a mais de 2 mil ataques, recebendo pelo menos US$ 120 milhões em pagamentos de resgate de janeiro de 2020 a maio de 2023. As vítimas incluíam governos locais, escolas públicas e serviços de emergência. Antes desta interrupção, os pagamentos à LockBit representavam mais de 15% do total de pagamentos de ransomware.
A operação não consistiu apenas no encerramento de websites: envolveu uma infiltração meticulosamente planeada que comprometeu a confiança dentro da comunidade LockBit, minando significativamente as operações do grupo e deixando seus afiliados em pânico. Ainda assim, o suposto líder do LockBit insiste que, apesar do revés, o grupo não acabou e promete continuar seus ataques.
BlackCat: anatomia de um ransomware rugpull (puxador de tapete)
O ALPHV/BlackCat RaaS era uma família de ransomware altamente ativa que surgiu em novembro de 2021. Esse grupo operava no modelo de ransomware como serviço (RaaS) comum, oferecendo seu malware a afiliados enquanto recebia uma parte dos pagamentos de resgate. Ele ganhou notoriedade por seus métodos de obtenção de acesso inicial através de credenciais roubadas e lançou ataques a uma infinidade de organizações globais, incluindo empresas petrolíferas, escolas e hospitais. As suas tácticas eram notadamente agressivas, muitas vezes envolvendo métodos de extorsão dupla ou tripla, incluindo ataques distribuídos de negação de serviço (DDoS), e introduziram estratégias inovadoras, como a criação de um site público de fuga de dados para aumentar a pressão sobre as suas vítimas por pagamentos.
Em dezembro do ano passado, o DoJ anunciou a interrupção do BlackCat, fornecendo 300 chaves de decodificação às vítimas e economizando aproximadamente US$ 68 milhões em pagamentos, mas o BlackCat conseguiu se reconstituir.
Em março deste ano, o grupo de ransomware supostamente desapareceu novamente após um golpe de saída, após um suposto pagamento de resgate de US$ 22 milhões da Change Healthcare, da UnitedHealth. Após o ataque, a BlackCat exibiu um aviso de apreensão policial em seu site na dark web para sugerir que suas operações haviam sido encerradas à força. Isso foi desmascarado como um estratagema do administrador para embolsar o pagamento multimilionário sem dar ao afiliado a devida parcela de 80% a 85%.
A saída do BlackCat marca uma grande ruptura no ecossistema de pagamentos de ransomware, já que o grupo capturava mais de 30% de todos os pagamentos de ransomware antes do golpe de saída.
Acesse o estudo completo da Chainalysis (em inglês) clicando aqui.
