O cenário do ransomware como um serviço (RaaS) passou por uma grande mudança no terceiro trimestre deste ano, conforme novas variantes foram surgindo, e se tornou a atividade dominante no mundo do cibercrime, de acordo com estudo da Intel 471.
Em uma nova atualização, a empresa de inteligência em ameaças informa que 60% dos ataques que rastreou no período estavam vinculados a quatro variantes: LockBit 2.0, Conti, BlackMatter e Hive. Destes, o LockBit 2.0 foi o mais prolífico, respondendo por um terço (33%) dos ataques observados, seguido pelo Conti (15%), BlackMatter (7%) e Hive (6%).
“Seja devido à aplicação mais rígida da lei, brigas internas entre grupos e de hackers abandonando completamente as variantes, os grupos de RaaS que dominam o ecossistema neste momento são completamente diferentes de alguns meses atrás”, diz Intel 471.
“No entanto, mesmo com a mudança nas variantes, os incidentes de ransomware como um todo ainda estão aumentando. De julho a setembro, a Intel 471 observou 612 ataques de ransomware que podem ser atribuídos a 35 variantes diferentes de ransomware. Entre esses ataques, várias variantes menos conhecidas suplantaram as mais conhecidas que ganharam notoriedade na primeira metade do ano”, enfatiza o relatório da empresa.
A ascensão do LockBit 2.0 foi particularmente notável, pois só foi descoberta em junho após o desaparecimento do LockBit no ano passado. Seu ataque mais famoso até agora foi à Accenture, bombardeada com um ataque distribuído de negação de serviço (DDoS) e o vazamento de dados em uma tentativa de forçá-la ao pagamento de resgate de US $ 50 milhões.
Veja isso
Lockbit vaza dados da Benner; download está bloqueado
Ransomware Conti amplia ataque para deletar backups
O grupo que opera o Conti foi assolado por disputas internas, o que pode ter levado a uma queda de 64% no número de ataques registrados usando essa variante entre o segundo e terceiro trimestre do ano.
“Em agosto, um operador vazou documentos de treinamento e expôs algumas infraestruturas que revelaram os papéis de dois outros operadores na execução da variante, supostamente devido ao fato de não pagarem aos ‘brokers’ de acesso à rede sua parte nos pagamentos de resgate”, disse Intel 471. “O operador inicial e um dos operadores doxxed foram chutados do fórum depois de serem vinculados a operações de ransomware.”
Enquanto as quatro variantes mencionadas estão em ascensão, Clop e REvil caíram após uma interrupção significativa em razão das fortes medidas tomadas por órgãos policiais e da lei.
No entanto, a mensagem para as empresas é que a ameaça persistirá enquanto as vítimas continuarem a pagar resgate e nações a abrigarem os operadores de ransomware sem nenhuma punição. Na semana passada, surgiram notícias de que a nova vulnerabilidade do Log4j já está sendo explorada em ataques de ransomware, oferecendo um novo vetor perigoso para operadores de ameaças.
