Resumimos e descobrimos quem se comportou mal este ano.
No ano passado, os grupos se separaram e se reformaram, mas uma coisa é certa - eles continuam existindo.
Apesar de todos os esforços, o problema do ransomware continua a crescer, com um relatório recente da empresa de segurança cibernética Zscaler mostrando um aumento de 80% nos ataques de ransomware em comparação com o ano passado. As principais tendências incluíram ransomware duplo, ataques à cadeia de suprimentos, ransomware como serviço (RaaS), rebranding de grupo e ataques com motivação geopolítica.
Por exemplo, este ano o conhecido grupo extorsionário Conti se desfez, mas seus membros apenas avançaram, formando novas gangues.
Com quais grupos você deve ter cuidado em 2023? Vamos dar uma olhada em alguns dos jogadores mais importantes.
LockBit
LockBit existe desde 2019 e funciona em um modelo RaaS. O maior grupo, respondendo por mais de 4 em cada 10 vítimas de ransomware, de acordo com o GuidePoint Security. Acredita-se que os hackers LockBit estejam ligados à Rússia.
A versão do ransomware LockBit 3.0 foi lançada em junho e já se espalhou para 41 países, de acordo com a Intel 471. Os principais alvos são serviços profissionais, consultoria e manufatura, bens de consumo e industriais e imóveis.
Além disso, a LockBit lançou seu próprio programa Bug Bounty, oferecendo até US$ 1 milhão para encontrar vulnerabilidades em seu malware, sites de vazamento, rede Tor ou serviço de mensagens.
Black Basta
O grupo Black Basta apareceu pela primeira vez na primavera deste ano e atacou pelo menos 20 empresas nas primeiras 2 semanas. Especula-se que a banda seja formada por ex-membros de Conti e REvil.
O Black Basta está atualmente executando uma campanha usando o malware QakBot, um trojan bancário usado para roubar dados financeiros das vítimas, incluindo informações do navegador, teclas digitadas e credenciais.
Acredita-se que o Black Basta tenha atingido cerca de 50 organizações nos EUA no último trimestre, incluindo a American Dental Association (ADA) e a varejista de alimentos canadense Sobeys. Mais da metade dos alvos do grupo eram dos Estados Unidos.
colmeia
Hive, o terceiro grupo de ransomware mais ativo este ano, concentra-se no setor industrial, bem como em organizações de saúde, energia e agricultura. Segundo o FBI, os hackers atacaram 1.300 empresas em todo o mundo, principalmente no setor de saúde, e receberam cerca de US$ 100 milhões em resgate.
Nas últimas semanas, o grupo reivindicou a responsabilidade por um ataque à empresa indiana de energia Tata Power, publicando os dados da empresa online, bem como a várias faculdades dos Estados Unidos.
Acredita-se que o Hive trabalhe com outros grupos de ransomware e tenha seu próprio suporte ao cliente e equipes de vendas. O grupo também está envolvido em extorsão tripla.
ALPHV/BlackCat
ALPHV/BlackCat é uma das famílias de ransomware mais sofisticadas e flexíveis com base na linguagem de programação Rust, que existe há cerca de um ano. Acredita-se que o grupo seja formado por ex-membros da REvil Gang e é afiliado ao BlackMatter (DarkSide).
O grupo também opera em um modelo RaaS, explorando vulnerabilidades conhecidas ou credenciais desprotegidas e realizando ataques DDoS para forçar a vítima a pagar um resgate. Os hackers do BlackCat expõem dados roubados por meio de seu próprio mecanismo de pesquisa.
Os alvos do grupo são organizações de infra-estrutura crítica, incluindo aeroportos, operadores de oleodutos e refinarias, bem como o Departamento de Defesa dos Estados Unidos.
As demandas de resgate chegam a milhões e, mesmo quando a vítima paga, o grupo nem sempre fornece as ferramentas de descriptografia prometidas.
BianLian
Um jogador relativamente novo que tem como alvo organizações na Austrália, América do Norte e Reino Unido. O grupo está lançando rapidamente novos servidores de comando e controle (C&C) na rede, indicando que os hackers planejam aumentar significativamente a atividade.
Como muitos outros ransomwares, o BianLian é baseado na linguagem Go, o que o torna altamente flexível e multiplataforma. De acordo com a Redacted, o grupo é formado por cibercriminosos relativamente inexperientes, pois não estão familiarizados com os aspectos práticos de negócios do ransomware e a logística associada a ele. A ampla gama de vítimas do grupo indica que ele é motivado por dinheiro e não por ideias políticas.
Outros novos grupos
O mundo do ransomware está em constante mudança e vários grupos mudaram de nome: DarkSide agora é BlackMatter, DoppelPaymer se tornou Grief e Rook foi renomeado para Pandora. Além disso, novos grupos surgiram no ano passado - Mindware, Cheers, RansomHouse e DarkAngels. Provavelmente ouviremos falar deles no ano que vem.
fonte: zscaler.com/blogs/security-research/2022-encrypted-attacks-report