Um ecossistema em franca evolução, cada vez mais sofisticado e com novos players e esquemas de infiltração e extorsão. Assim é o mundo do cibercrime quando se trata de quadrilhas de ransomware - que em 2022 promoveram quase 16 milhões de ataques a empresas. Os pesquisadores da Trend Micro, líder mundial em soluções de cibersegurança, analisaram a atividade dos hackers e concluíram que três famílias dominaram o cenário mundial: LockBit, BlackCat e Royal, grupo dissidente do Conti, um dos mais agressivos dos últimos anos.
Um olhar atento aos sites de vazamento dos grupos de ransomware (aqueles que publicam ataques a empresas que foram comprometidas com sucesso, mas se recusaram a pagar o resgate) mostra que as organizações sediadas nos Estados Unidos foram as mais atingidas por esse tipo de ataque, no último trimestre de 2022, representando 42% do total de vítimas. Os golpes também afetaram vários países europeus, como o Reino Unido e a Alemanha, além do Brasil.
Os 10 principais países afetados por ataques bem-sucedidos de RaaS e extorsão no quarto trimestre de 2022. Fonte: RaaS e sites de vazamento de grupos de extorsão e pesquisa OSINT (Open Source Intelligence) da Trend Micro.
LockBit foi o provedor de Ransomware as a Service (RaaS) mais ativo no período, o que reforça as descobertas dos relatórios divulgados no primeiro, segundo e terceiro trimestres de 2022. BlackCat, por outro lado, tirou da manga novos truques de extorsão, incluindo a falsificação de identidade do site de uma vítima com o objetivo de utilizá-la para publicar dados roubados na web. Já o grupo Royal combinou técnicas antigas e novas para acessar seus alvos, sugerindo um amplo conhecimento da cena do ransomware.
Número de detecções de arquivos ransomware de LockBit, BlackCat e Royal, em máquinas, por mês, no quarto trimestre de 2022. Fonte: Trend Micro™ Smart Protection Network™.
LockBit
LockBit foi o grupo mais proeminente em 2022, mantendo firmemente o primeiro lugar de janeiro a dezembro. Arrematou mais de um terço das organizações atacadas no primeiro (35,8%), segundo (34,9%) e terceiro (32,9%) trimestres, embora sua ação tenha caído significativamente no último trimestre do ano (22,3%). Dos ataques no quarto trimestre, 11,7% foram da BlackCat e 10,7% atribuídos à Royal.
Desde a sua descoberta, em setembro de 2019, a LockBit construiu um histórico de atualização frequente de seus recursos de malware e implementação de programas de expansão de afiliados para solidificar sua posição no campo do RaaS. Além de utilizar a dupla extorsão de forma hábil, a LockBit também vem lançando iniciativas inovadoras.
De acordo com dados do site de vazamento, mais da metade de suas vítimas foram pequenas organizações (com 200 funcionários no máximo), representando 51,7% das investidas no quarto trimestre. As empresas de médio porte (com 201 a 1.000 funcionários) significaram 21,7%, enquanto as grandes empresas (com mais de 1.000 funcionários) 15,6%. Os setores de finanças, TI e saúde foram os principais alvos, no período e mais de um terço das vítimas está sediada na América do Norte, com 44%.
BlackCat
Antes de se despedir do ano, a BlackCat comprometeu uma organização no setor de serviços financeiros usando uma criativa tática de extorsão para punir as vítimas por não atenderem às demandas de resgate. Primeiro, publicou todos os dados obtidos no próprio site da gangue (Tor) e depois vazou arquivos roubados em um site réplica do da vítima, usando um nome de domínio typosquatted. Como os sites publicados na dark web têm visibilidade limitada, o compartilhamento de informações roubadas na internet exerce mais pressão sobre a vítima, já que ficam acessíveis ao público em geral.
Os operadores da BlackCat também abusaram de uma conta do Telegram para promover sua nova oferta de RaaS: um Log4J Auto Exploiter pré-embalado. Os operadores do BlackCat afirmam que a ferramenta pode ser usada para espalhar o malware BlackCat lateralmente dentro de uma rede.
Royal
Vários ataques do grupo Royal foram vistos em 2022 principalmente contra organizações nos EUA e no Brasil. O uso de phishing de retorno de chamada para enganar as vítimas e fazer com que elas instalem malware na área de trabalho remota permite que a contaminação das máquinas com o mínimo esforço. Enquanto isso, as táticas de criptografia intermitente do grupo de ransomware também aceleram a criptografia dos arquivos das vítimas.
Em suas primeiras campanhas, a Royal implantou o criptografador da BlackCat. Em seguida, mudou para o seu próprio chamado Zeon, que deixa mensagens de resgate semelhantes às do Conti. Mais tarde personalizou as notas com o seu novo criptografador. As pequenas empresas representaram 51,9% das vítimas da Royal no quarto trimestre, enquanto as organizações de médio porte obtiveram uma participação de 26,8%. As grandes empresas representaram 11,3% nesse período.
Em dezembro, o Departamento de Saúde dos Estados Unidos emitiu um aviso às organizações de healthcare alertando sobre as ameaças do Royal ransomware. Um relatório mencionou que os pedidos de resgate variavam de US$ 250 mil a mais de US$ 2 milhões. Royal é supostamente um grupo privado sem afiliados. Portanto, não pode ser classificado como um provedor de RaaS.
O estudo sobre as principais famílias de ransomware é baseado em dados de sites de vazamento de RaaS de grupos de extorsão, na pesquisa de inteligência de código aberto (OSINT/ Open Source Intelligence) da Trend Micro e informações da plataforma Trend Micro™ Smart Protection Network™.
Para mais detalhes do relatório, clique AQUI.
