.
Uma gangue de ransomware recém-surgida afirma ter obtido acesso com sucesso aos sistemas de uma clínica de um cirurgião plástico dos EUA, vazando fotos pré-operatórias dos pacientes na tentativa de apressar o pagamento do resgate.
O grupo, que se autodenomina Hunters International, reivindicou ataques a apenas duas vítimas até agora, tendo a primeira – uma escola primária do Reino Unido – surgido no início deste mês.
É uma atitude realmente nojenta e lamento dizer que veremos cada vez mais
Especialistas em segurança vincularam Hunters ao grupo fechado Hive, que foi desmontado através de uma operação coordenada de aplicação da lei internacional em Janeiro.
Após o alegado ataque à clínica de um cirurgião dos EUA, o grupo parece estar a utilizar uma tática particularmente agressiva para acelerar as negociações de resgate, o que provavelmente será visto como uma ultrapassagem dos limites morais, mesmo para os cibercriminosos.
A Hunters International compartilhou quatro imagens de indivíduos que afirma serem pacientes do Dr. Jaime Schwartz – um cirurgião plástico com escritórios em Beverly Hills e Dubai – como “prova” dos 248.245 arquivos que afirma ter roubado da clínica.
De acordo com o site de vazamento do grupo, ele está se preparando para enviar e-mails em massa aos pacientes da clínica como outra tática de medo destinada a acelerar o processo.
Publicando uma atualização de acompanhamento, o grupo publicou nomes, endereços, fotos e, em alguns casos, vídeos de supostos pacientes, no que chama de a primeira de três divulgações totais.
A clínica não respondeu Strong The Onepedido de comentário.
Quão baixo você pode ir…
“É uma tática de pressão de extorsão muito baixa que já foi usada antes pelo BlackCat, que expôs fotos de câncer e aumento de seios”, disse o analista e pesquisador de segurança cibernética Dominic Alvieri. Strong The One.
“É uma medida realmente nojenta que, lamento dizer, veremos cada vez mais.”
A tática moralmente questionável surge uma semana depois que o grupo de ransomware BlackCat alegou que começaria a ligar para pacientes de um hospital comunitário que atacou em outra aparente tentativa de garantir um pagamento rápido de resgate.
Depois de reivindicar um ataque ao Morrison Community Hospital em Illinois, disse: “Dado que não recebemos uma resposta clara dos representantes do MCH, decidimos lançar um teaser [sample of data] e iniciar chamadas de pacientes em breve. A direção do hospital tem 48 horas para atender às nossas demandas”.
Outros grupos de ransomware desejam exibir um certo grau de aparente “moralidade” quando se trata de seus alvos. A LockBit, por exemplo, está entre os grupos mais prolíficos que operam atualmente, mas tem intervindo rotineiramente quando suas afiliadas violam organizações que considera eticamente fora dos limites.
No início deste ano, ele pediu desculpas por uma afiliada ataque a SickKidso maior hospital infantil do Canadá, e publicou, mas rapidamente removeu, uma lista na semana passada das Associações de Paralisia Cerebral do Estado de Nova York.
“Eu diria que a ‘linha’ é traçada por cada grupo”, disse Victor Acin, gerente dos laboratórios de inteligência de ameaças do Outpost24. Strong The One. “Alguns evitam as instituições de saúde para evitar colocar em perigo a vida de outros seres humanos, mas outros simplesmente vêem isto como uma oportunidade que podem aproveitar para ganhar mais dinheiro.
“Em muitos casos, o vazamento de informações relacionadas a informações confidenciais e sensíveis pode acarretar multas mais pesadas para a empresa violada, pois implica que elas não tomaram as medidas necessárias para proteger essas informações confidenciais e, portanto, são usadas para espremer seus alvos. um pouco mais.”
Reconstruindo a Colmeia?
Pesquisadores independentes de segurança cibernética estabeleceram ligações iniciais entre a Hunters International e o antigo grupo Hive – anteriormente uma das gangues de ransomware mais proeminentes.
Seu site de vazamento foi detectado pela primeira vez em 20 de outubro pelo analista de malware Andrey Zhdanov, que observou que uma amostra de ransomware da Hunters International carregada no VirusTotal indicava uma correspondência com a carga útil v6 do Hive.
Um Intezer separado Varredura da amostra de outro pesquisador revelou sobreposições de código com a família Hive e também SophosEncrypt – um ransomware que visa imitar a legítima empresa de segurança Sophos. O mesmo pesquisador disse sua análise indicou uma correspondência de mais de 60 por cento ao observar as semelhanças de código entre Hive e Hunters International.
Zscaler ThreatLabz foi o primeiro a anunciar que “Hive ransomware está de volta” em um publicar para sua conta X. Ele também analisou a carga útil do ransomware para encontrar citações com tema de caça incorporado em seu código JavaScript.
“Em 20 de outubro de 2023, um novo grupo de ransomware de dupla extorsão que se autodenomina Hunters International foi descoberto”, disse Zscaler ThreatLabz Strong The One.
“Após uma análise mais aprofundada, foi determinado que o ransomware era baseado no Hive (versão 6), compartilhando aproximadamente 60% do mesmo código.
“Além disso, a nota de resgate continha um link para um portal de resgate de vítimas que tem código de back-end quase idêntico ao Hive com um novo tema. Isso provavelmente indica que o antigo grupo de ransomware Hive foi renomeado como Hunters International ou vendeu o código para outra ameaça grupo.”
Confirmando essas suspeitas, a Hunters International emitiu um comunicado nas primeiras horas da manhã de terça-feira, negando qualquer ligação com o próprio Hive, confirmando em vez disso que havia comprado o código-fonte da gangue.
“Começamos a ver que alguém decidiu falsamente que somos os sucessores do grupo de ransomware Hive com base em uma semelhança de 60% no código de criptografia”, disse Hunters International.
“Todos os códigos-fonte do Hive foram vendidos, incluindo o site e as versões antigas do Golang e C, e fomos nós que os compramos. Infelizmente para nós, encontramos muitos erros que causaram indisponibilidade para descriptografia em alguns casos. Todos eles foram corrigidos agora.
“Como você pode ver aqui, a criptografia não é nosso objetivo principal, é por isso que não fizemos isso sozinhos.”
A presença de semelhanças de código nem sempre significa que uma conexão firme entre grupos possa ser estabelecida. Além de serem vendidos como no caso do Hive, as cargas úteis dos grupos de ransomware vazam com frequência e, portanto, o código pode ser levantado, modificado e usado por grupos totalmente diferentes.
Por exemplo, o Sophos X-Ops recentemente frustrou um ataque de ransomware que buscava explorar vulnerabilidades no WS_FTP, e durante sua análise os pesquisadores encontraram evidências de código roubado da terceira cepa do LockBit que vazou no ano passado.
Em vez de ser um ataque iniciado pelo próprio grupo LockBit, as evidências apontavam para um grupo totalmente novo e inexperiente que usava o código da gangue mais estabelecida. ®
.
