.
RansomHub, o coletivo de ransomware que surgiu no início deste ano, rapidamente ganhou impulso, ultrapassando seus colegas criminosos e atingindo suas vítimas de maneira especialmente dura. O grupo nomeou e envergonhou centenas de organizações no seu site de vazamento, enquanto exigia pagamentos exorbitantes em vários setores.
O grupo, uma suposta reformulação da marca Knight, apareceu pela primeira vez em fevereiro e rapidamente contratou afiliados desempregados da Lockbit após a remoção da equipe pela aplicação da lei na mesma época. O RansomHub também preencheu avidamente o vazio deixado pelo ALPHV/BlackCat após o golpe de saída amplamente divulgado desse grupo em março – gabando-se de recrutar afiliados de ambos os grupos extintos por meio de TOX e fóruns de crimes cibernéticos.
Em agosto, apenas seis meses depois de se estabelecer, o RansomHub já havia feito 210 vítimas e chamado a atenção do FBI, da CISA e de outras agências governamentais que caçavam criminosos cibernéticos. Suas vítimas supostamente incluem a casa de leilões Christie’s, Frontier Communications, a rede de farmácias norte-americana Rite Aid, a Planned Parenthood e as bibliotecas públicas de Delaware, entre muitas outras.
Desde então, sua marca de malware se tornou o criptografador preferido do Scattered Spider e de outros criminosos sofisticados, e a gangue postou um recorde de 98 vítimas em seu site de vazamento em novembro.
Mas, como outros ladrões digitais prolíficos – incluindo o Scattered Spider – aprenderam, uma série de ataques de alto perfil aponta um alvo muito grande para o grupo e suas afiliadas. Embora seja muito mais difícil prender criminosos de ransomware que recebem porto seguro dos promotores russos, até mesmo os criminosos cibernéticos tiram férias – e às vezes, os policiais estão esperando para fazer prisões durante esses momentos.
Ameaça de ransomware ‘mais ativa e significativa’
“Não quero colocar o RansomHub em um pedestal. Eles são um grupo oportunista”, disse Michael McPherson, vice-presidente sênior de operações de segurança da ReliaQuest. O Registro. “Mas eles foram espertos ao fazer essa apropriação de terras naquele momento. Será interessante ver por quanto tempo eles conseguirão manter essa corrida.”
Durante seu breve mandato, o grupo ligado à Rússia tornou-se conhecido como “a ameaça mais ativa e significativa na atividade de ransomware”, de acordo com um relatório de 30 de outubro da ReliaQuest, que chamou a gangue de o grupo de ransomware mais dominante durante o terceiro trimestre de 2024.
“É um grupo interessante que teve uma ascensão meteórica e quase parece surgir do nada”, admitiu McPherson, ex-agente especial do FBI. “Houve um esforço óbvio para o RansomHub ganhar afiliados. Eles são muito, eu diria, generosos em seu modelo e anunciam uma divisão de 90-10.”
Isso significa que os afiliados que realizam o ataque podem ficar com 90% do pagamento da extorsão, enquanto os operadores de ransomware recebem 10%. Uma divisão de 80-20 ou 70-30 é mais comum entre essas equipes criminosas, então o pagamento mais alto torna mais fácil para os novos garotos do quarteirão atrair mais trabalhadores.
Será interessante ver por quanto tempo eles conseguirão manter essa corrida
“Essas afiliadas irão para onde está o dinheiro, e se alguém pagar mais, seria tolice não ir para lá”, opinou McPherson, acrescentando que este modelo de negócio “alimentaria a capacidade do RansomHub de sair e atingir tantas vítimas ao mesmo tempo, ter uma grande base de afiliados.”
Além disso, os operadores do RansomHub em seus sites obscuros gostam de promover a transparência com seus afiliados – provavelmente um esforço para construir a confiança de outros criminosos, após o suposto esquema de saída do ALPHV.
“Há marketing envolvido”, observou McPherson. “Eles estão entrando em contato com afiliados, tentando ser mais parceiros deles. Eles estão tentando evoluir e aproveitar o cenário do crime cibernético para conquistar participação de mercado.
Tripulação ‘agiu rápido e preencheu um vazio’
Ainda assim, as táticas do grupo não são únicas, observou ele. O grupo emprega código Knight reaproveitado e métodos de extorsão dupla – que são usados pela maioria das gangues de ransomware atualmente.
Isso envolve primeiro invadir a rede de suas vítimas e roubar arquivos valiosos e, em seguida, criptografar os dados na rede, ao mesmo tempo em que extorque as organizações por enormes somas de dinheiro em sites de vazamento da dark web.
“Suas táticas reais não são únicas, mas sua capacidade de se mover rapidamente e preencher uma lacuna é o que os torna tão notáveis neste momento”, disse-nos McPherson. “Ou talvez eles estejam apenas tentando correr o mais forte e rápido que podem, porque sabem que estão protegidos onde estão.”
Os analistas da ZeroFox também acompanharam o aumento do RansomHub este ano e relataram que o grupo foi responsável por cerca de 2% de todos os ataques no primeiro trimestre, 5,1% no segundo trimestre, 14,2 no terceiro trimestre e cerca de 20% no quarto trimestre.
Embora seja quase certo que isso irá estabilizar, há uma chance provável de que o coletivo continue a atrair afiliados experientes e continue a ser a ameaça mais perigosa
“A maior ameaça no início de 2025 provavelmente emanará do RansomHub”, declarou a empresa de segurança [PDF] em um relatório de 12 de dezembro que também chamou o RansomHub de “o mais proeminente R&DE [ransomware and data exfiltration] roupa” de 2024.
“O ritmo de ataque do RansomHub tem apresentado uma trajetória ascendente consistente, representando aproximadamente 20% de todos os incidentes de P&DE no quarto trimestre de 2024”, de acordo com o relatório.
“Embora seja quase certo que isto irá estabilizar, há uma probabilidade provável de que o colectivo continue a atrair afiliados experientes e continue a ser a ameaça mais perigosa de I&DE”, observou.
“A maneira como eles conduzem os negócios e o ritmo com que expõem e publicam as vítimas são bastante comuns nos novos grupos de ransomware”, disse o vice-presidente de inteligência da ZeroFox, Adam Darrah. O Registro. “É provável que o RansomHub seja composto por indivíduos afiliados a outros coletivos de ransomware agora extintos ou com influência em declínio. Não é incomum que uma nova máfia de extorsão chegue e faça barulho.”
A eleição presidencial dos EUA este ano também provavelmente contribuiu para o aumento dos ataques, acrescentou Darrah, um antigo analista político da CIA.
“Na preparação para uma grande eleição nos EUA, eles [were] aproveitando-se de uma comunidade de defensores, tanto dentro quanto fora do governo, que já estão nervosos com ataques cibernéticos”, disse ele. “Grupos de ransomware que têm qualquer tipo de afiliação oficial ou não oficial com um serviço de inteligência de um estado-nação sabem que a publicação de um número tão elevado de vítimas a um ritmo acelerado, a um ritmo tão alarmante, tira tempo, atenção e recursos de outras operações defensivas.”
É importante observar que o número de vítimas listadas não equivale diretamente a ataques. As vítimas que pagam o pedido de resgate – ou chegam a algum tipo de acordo com os criminosos – podem nunca ver os nomes das suas organizações nos sites de fuga dos criminosos.
“Quando eles entram no radar tão rapidamente, isso também chama a atenção de mocinhos muito capazes em todo o mundo”, disse Darrah. “Portanto, há uma razão pela qual o ciclo de vida de alguns desses grupos não é longo”.
O relatório da ZeroFox alerta que outras gangues de ransomware, como Meow, Play Ransomware e Hunters International, têm “muito probabilidade” de emergir como ameaças sérias no início de 2025. Embora não se saiba por quanto tempo o RansomHub pode manter seu funcionamento, uma coisa é certa: não há escassez de coletivos esperando para ocupar seu lugar no topo das paradas. ®
.
