O grupo de ransomware como serviço (RaaS) conhecido como Ransom Cartel é associado à gangue do REvil. A informação é da Unit 42, equipe de pesquisa de segurança da Palo Alto Networks, que compartilhou um novo artigo técnico sobre o Ransom Cartel com a Infosecurity.
De acordo com o comunicado, o REvil parou de operar cerca de dois meses antes do Ransom Cartel fazer sua estreia e apenas um mês depois que 14 de seus supostos membros foram presos na Rússia. “Quando o Ransom Cartel apareceu pela primeira vez, não estava claro se era uma nova marca do REvil ou um operador de ameaça não relacionado que reutilizou ou imitou o código do REvil”, escreveu a Unit 42.
No entanto, com o tempo, a coleta ficou mais clara, principalmente por meio das ferramentas utilizadas por ambos os atores de ameaças. “Enquanto o Ransom Cartel usa dupla extorsão e alguns dos mesmos TTPs [táticas, técnicas e procedimentos] que normalmente são observados durante ataques de ransomware, Ransom Cartel usa ferramentas menos comuns [DonPAPI, por exemplo] que não observamos em nenhum outro ataques de ransomware.”
Com base nas investigações, os pesquisadores de segurança também observaram que os operadores do Ransom Cartel têm acesso ao código-fonte original do REvil, mas provavelmente não possuem o mecanismo de ofuscação usado para criptografar strings e ocultar chamadas de API. “Especulamos que os operadores do Ransom Cartel tiveram um relacionamento com o grupo REvil antes de iniciar sua própria operação”, diz o comunicado.
Veja isso
Prisão de membros não desativou operação do REvil
Hacker ucraniano ligado ao grupo REvil é extraditado para os EUA
“Devido à natureza de alto perfil de algumas organizações visadas pelo Ransom Cartel e o fluxo constante de casos identificados pela Unit 42, o operador ou afiliados por trás do ransomware provavelmente continuarão a atacar e extorquir organizações”, alertaram os especialistas em segurança.
Para proteger seus sistemas dos ataques do Ransom Cartel, a Unit 42 aconselha as empresas a implementarem software antiransomware e revizem os indicadores de comprometimento da ameaça, que estão disponíveis no texto original do comunicado.
A publicação ocorre em meio a um aumento definitivo nos ataques de ransomware e seu impacto financeiro nas empresas em todo o mundo, conforme sugerido por um relatório recente da Acronis.