.
Um novo relatório da Europol sugere que a recente interrupção de grupos de ransomware como serviço (RaaS) está fragmentando o cenário de ameaças, tornando-o mais difícil de rastrear.
Atribuição em segurança cibernética é algo difícil, mas importante para os defensores ao desenvolver estratégias para mitigar ataques futuros do mesmo grupo ou indivíduo. No entanto, a maneira como os criminosos cibernéticos se reorganizam está tornando esse processo mais difícil após o êxodo em massa de afiliados de gangues de ransomware caídas, disse a agência de aplicação da lei da UE.
Criminosos são comumente vistos realinhando suas lealdades a outros grupos. No entanto, também há um aumento daqueles que optam por trabalhar de forma independente usando ferramentas roubadas e modificadas, nos disseram.
As descobertas também foram compartilhadas por membros da indústria em geral, embora desde as quedas da ALPHV/BlackCat e da LockBit no início deste ano, as coisas tenham se tornado menos tumultuadas.
“Embora pareça ter havido um aumento na fragmentação no início do ano, a WithSecure observou uma diminuição no número de sites de vazamento de RaaS ativos desde janeiro de 2024”, disse Stephen Robinson, analista sênior de inteligência de ameaças da WithSecure.
“Isso sugere que, embora a indústria tenha sido afetada, os atores se estabeleceram em um número menor de marcas que podem ser vistas como mãos seguras.”
O sucesso dos recentes esforços de interrupção direcionados a empresas como LockBit e ALPHV/BlackCat também levou a outro desenvolvimento notável, pois os afiliados estão cada vez mais buscando desenvolver suas próprias cargas úteis.
De acordo com a Eurocops, os afiliados mais talentosos das principais gangues RaaS estão ficando cansados de ter que mudar de aliança quando a polícia se aproxima da operação. Eles agora estão procurando diminuir sua dependência dos grandes jogadores e, em vez disso, seguir sozinhos com suas próprias ferramentas, que geralmente são versões reformuladas de construtores vazados – uma prática comum entre grupos novatos menos sofisticados.
“Essa tendência também pode ser perpetuada pela maior disponibilidade e qualidade das ferramentas de IA que não possuem filtragem rápida, que os cibercriminosos podem usar para montar e depurar rapidamente seu código”, diz o relatório.
É uma mudança que também subverte a norma, pela qual se uma gangue é derrubada pela polícia, outra tentaria atrair o talento para sua própria operação. Uma cai, a outra se torna mais forte.
No entanto, usar versões modificadas de construtores vazados como sua principal ferramenta, sem dúvida, não é a rota mais segura para o sucesso a longo prazo. Embora o código possa ter mudado de alguma forma, os principais fornecedores de EDR têm proteções e regras implementadas que foram treinadas em vários ataques anteriores envolvendo o construtor, então é provável que, se um estágio do ataque funcionar, outro pode ser bloqueado em organizações que permanecem no topo da inteligência de ameaças.
No campo da inteligência de ameaças, Robinson disse que é difícil dizer com certeza se há de fato um aumento de lobos solitários no cenário de ransomware, como afirma a Europol, embora haja exemplos notáveis que apoiam a ideia.
“Pode ter havido um aumento no número de atores operando isoladamente, sem locais de vazamento ou infraestrutura, mas isso é difícil de quantificar, pois não pode ser visto nas estatísticas dos locais de vazamento”, disse ele.
“Exemplos desse comportamento incluem a campanha GitLoker recentemente relatada visando repositórios do GitHub, e o Volcano Demon, que usa o Tox Messenger e chamadas telefônicas para negociar, em vez de um site de vazamento.”
Naturalmente, como os vazamentos do LockBit provaram no início deste ano, se você fosse um dos principais criminosos cibernéticos, isso o faria pensar em quão seguro é ter um grupo criminoso não identificado tendo acesso a qualquer nível de dados sobre você.
Depois que a Operação Cronos invadiu os servidores da LockBit, os detalhes de quase 200 afiliados foram expostos à polícia, informando futuras investigações sobre grandes crimes cibernéticos.
Nos primeiros dias dos esforços de interrupção, essa descoberta gerou suspeitas iniciais de que a confiança na operação da LockBit seria severamente afetada, o que foi provado como verdade. Nos últimos três meses, a gangue de Dmitry Khoroshev registrou dois meses recordes de ataques reivindicados, que muitos atribuem à perda de afiliados.
Dia ruim para ser uma PME
As gangues de ransomware têm continuamente mudado sua atenção entre empresas maiores e pequenas e médias empresas, refletindo as tendências da época de ir atrás daqueles com os bolsos mais fundos ou as defesas mais fracas. Este último é mais uma vez o caso, na visão da Europol.
É uma tendência apoiada também pela indústria em geral, com pesquisadores dizendo há menos de um ano que os criminosos de ransomware estavam indo atrás de oportunidades mais fáceis após um período de caça grossa.
“A maioria dos operadores de ransomware escolhem seus alvos com base no tamanho, probabilidade de pagamento e esforço necessário para comprometer os sistemas do alvo”, disse a Europol. “Isso significa que os invasores buscam sistemas e serviços de acesso público dentro da infraestrutura (reconhecimento) e avaliam quais deles podem ser comprometidos mais facilmente,
“Obter acesso inicial pode ser feito por meio de credenciais roubadas ou explorando vulnerabilidades em tecnologias públicas. Grupos de ransomware e afiliados geralmente empregam [initial access brokers]que são essencialmente testadores de penetração especializados em certas tecnologias e aplicações.
“Normalmente, os IABs (e suas especializações) que os operadores de ransomware têm disponíveis determinam a superfície de ataque viável e, portanto, influenciam o processo de seleção de alvos. Algumas tecnologias são muito comuns, enquanto outras são mais específicas do setor, razão pela qual padrões de alguns grupos de ransomware visando certos setores podem surgir.”
O que não mudou muito, no entanto, são as táticas de extorsão. Métodos de extorsão multicamadas têm sido usados há anos e continuam sendo a rota de fato para negociar pagamentos de resgate.
A importância de manter backups atualizados ainda é a melhor rota para sair do pagamento de um resgate, caso os invasores encontrem uma maneira de entrar nos sistemas mais importantes. A publicação de dados roubados é sempre uma ameaça, mas manter a capacidade operacional é frequentemente mais importante do que qualquer possível vazamento de dados, como eventos recentes no NHS revelaram. ®
.
