.
Pelo menos 25 novas gangues de ransomware surgiram em 2023, com Akira e 8Base provando ser as mais “bem-sucedidas”, revela a pesquisa.
As gangues foram as duas histórias de “sucesso” do ano para os cibercriminosos, provando que a atração de grandes pagamentos de resgate ainda é suficiente para atrair um interesse significativo de operações incipientes de ransomware, apesar dos desafios que permanecem para os recém-chegados.
Por um lado, há cada vez mais atenção por parte das agências de aplicação da lei, que encerraram numerosas operações no ano passado, por exemplo, e isto ameaça ser um sério impedimento para as travessuras deste ano.
O alto grau de competição entre gangues também foi listado como outro motivo para a saída de alguns grupos de cena, segundo pesquisadores da Unidade 42 da Palo Alto Networks. Os cibercriminosos devem oferecer pagamentos competitivos aos afiliados e, ao mesmo tempo, oferecer uma carga útil de ransomware que seja eficaz o suficiente para atrair criminosos capazes para seu programa e afastá-los de concorrentes poderosos como LockBit e ALPHV/BlackCat.
Preparem seus lenços – algumas gangues não sobreviveram…
As dificuldades enfrentadas pelos grupos de ransomware podem explicar por que tantos não conseguiram sobreviver no ano passado. Cinco dos 25 recém-chegados não conseguiram comemorar o seu primeiro aniversário, não registando um único ataque nos últimos seis meses do ano.
“A falta de postagens em sites de vazamento não significa necessariamente que esses grupos cessaram suas operações. Os criminosos desses grupos poderiam ter migrado para outros tipos de operações, retirado da vista do público ou se fundido com outros grupos de ransomware”, blogou Doel Santos, principal pesquisador de ameaças. na Unidade 42.
“Se alguns desses grupos não durassem o ano inteiro, novos atores de ameaças poderiam preencher a lacuna. O segundo semestre de 2023 revelou postagens de 12 novos locais de vazamento, indicando que esses grupos podem ter começado no final do ano.”
Dos 25 novos gangues identificados pela Unidade 42, pelo menos 12 deles estão ligados a grupos pré-existentes, quer como ramificações, quer como supostas reformulações de operações que foram encerradas.
A lista completa das novas gangues de 2023 está abaixo, incluindo detalhes sobre se elas ainda estão ativas e, quando relevante, a qual outra gangue elas supostamente estão ligadas.
-
8Base (ligado a Fobos)
-
Abismo
-
Akira (vinculado ao Conti)
-
Traje Preto (vinculado ao Conti)
-
Cacto
-
Ciphbit
-
Capa (vinculado ao ARCrypter)
-
(Inativo) Bloqueio cruzado
-
(Inativo) CriptoNet (ligado ao Caos)
-
Ciclope
-
(Inativo) Corrida Negra (vinculado ao LockBit)
-
Caçadores Internacionais
-
INC.
-
Cavaleiro (Ciclope)
-
Confiança perdida (MetaEncriptador)
-
NoEscape (ligado a Avaddon)
-
Miau
-
Mensagem de dinheiro
-
Grupo RA (ligado a Babuk)
-
(Inativo) Rancoz
-
(Inativo) Resgatado.vc
-
Rhysida (vinculado à Vice Sociedade)
-
Três da manhã
-
Trigona (ligado ao Crylock)
-
Bomba U
As 25 novas operações de ransomware representaram cerca de um quarto de todos os incidentes de ransomware reivindicados publicamente em 2023.
Dizemos “reivindicado publicamente” porque o número de ataques reais de ransomware provavelmente será muito maior, mas devido à divulgação inadequada ou ao pagamento antecipado de resgates, nunca saberemos sobre eles.
De todos os recém-chegados, Akira é considerado o que mais cresce no grupo e até agora reivindicou uma série de ataques importantes, como o da gigante de cosméticos Lush, nas últimas semanas.
De acordo com a análise da BlackFog [PDF] dos incidentes de ransomware de janeiro de 2024, Akira reivindicou cerca de 12% deles, tornando-se o segundo grupo mais ativo do ano até agora. Não é de surpreender que Conti esteja realmente por trás da operação – Conti, no auge dos seus poderes, era o grupo mais temido do seu tempo… antes de implodir, é claro.
Dito isto, Wizard Spider, a gangue fortemente sancionada por trás de Ryuk, Conti, Trickbot e outros, permanece (principalmente) foragido graças à abordagem cega da Rússia ao comportamento dos cibercriminosos, desde que toda a maldade seja dirigida ao Ocidente.
8Base é um grupo que foi tecnicamente estabelecido em 2022, disse Santos, mas como seu blog de vazamento só foi ao ar em maio de 2023, ele está sendo agrupado com os novatos do ano passado.
Começou o ano forte, registrando consistentemente mais ataques do que Akira, e embora este último tenha ultrapassado o 8Base no final do ano, os números da Unidade 42 mostraram muito pouca diferença nos números finais, sugerindo que era tão eficaz quanto Akira.
As duas gangues foram os “artistas” de destaque nas 25 novas operações do ano passado e, embora não tenha sido incluído na lista da Unidade 42, o grupo Lobisomens de língua russa, que rapidamente ganhou destaque no final do ano, parece que continuará a deixar uma marca este ano.
Todos os grupos procurarão também arrebatar a quota de mercado deixada pelos grupos que caíram no ano passado, em grande parte devido ao trabalho das agências internacionais de aplicação da lei.
Hive, Ragnar Locker, Ransomed.vc e Trigona foram todos fechados pelas autoridades no ano passado, e as autoridades quase capturaram o ALPHV também, mas o grupo conseguiu recuperar o controle durante uma luta de vários dias com o FBI.
As remoções foram celebradas na altura, mas à medida que os profissionais da indústria se preparavam para as férias de Natal, o debate em torno dos pagamentos de ransomware esquentou e acabou por diluir a importância dos esforços das autoridades.
Sem a proibição do pagamento de resgates, a derrubada de gangues provavelmente terá muito pouco efeito. Esse foi o consenso de muitos, embora haja certamente argumentos contra isso. ®
.
