.
À medida que o RansomHub continua a recrutar os melhores talentos das operações fracassadas do LockBit e do ALPHV, ao mesmo tempo em que acumula uma miscelânea de vítimas, as agências de segurança e aplicação da lei nos EUA sentem que é hora de emitir um aviso oficial sobre o grupo que está buscando a supremacia do ransomware.
De acordo com o aviso de segurança da CISA, do FBI, do HHS e do MS-ISAC, o RansomHub acumulou pelo menos 210 vítimas desde que foi lançado em fevereiro deste ano.
Essa é uma entrada forte para qualquer estimativa, ainda mais para um grupo relativamente novo e formado por um grupo heterogêneo de afiliados recrutados de antigas operações líderes de ransomware.
Olhando para a extensa lista de setores que o grupo visou com sucesso, parece que os afiliados irão atrás de qualquer um, incluindo infraestrutura crítica e serviços de emergência.
O objetivo deste aviso é disseminar táticas, técnicas e procedimentos (TTPs) conhecidos para informar os defensores que podem então criar regras de detecção e interromper os ataques do RansomHub antes que eles aconteçam.
Quanto à forma como os afiliados tendem a invadir, eles adoram uma boa exploração de vulnerabilidade. A maioria das vulnerabilidades que o aviso observou como favoritas firmes para a gangue tinha apenas um ano. No entanto, bugs como CVE-2017-0144, o que sustentou a exploração EternalBlue da NSA, e ZeroLogon de 2020 também foram usados com algum sucesso.
Ao monitorar os logs de rede, os defensores devem ficar de olho nos suspeitos de sempre: Mimikatz para coleta de credenciais, e Cobalt Strike e Metasploit para movimentação na rede, estabelecimento de infraestrutura C2 e exfiltração de dados.
Outras ferramentas são usadas, como PuTTY e buckets AWS S3 para extração de dados, mas o aviso tem a lista completa, e essas ferramentas e técnicas diferem substancialmente dependendo do afiliado que executa o ataque, então verificar todas elas sempre será uma boa ideia.
Várias mitigações também foram incluídas no aviso. Simplificando, muitas, se não todas, poderiam ser colocadas sob a categoria guarda-chuva de “o básico”, como manter sistemas e softwares atualizados, segmentar redes e impor políticas de senhas fortes, blá blá blá, você sabe o que fazer.
E, claro, a CISA está envolvida, então ela obviamente não perderia a chance de divulgar sua mais recente iniciativa Secure By Design. Ela disse que software inseguro é a causa raiz de muitos problemas que as mitigações recomendadas visavam, bem, mitigar, então garantir que a segurança esteja incorporada na arquitetura do produto e exigir MFA — idealmente o tipo resistente a phishing — para usuários privilegiados é imperativo.
“A CISA pede que os fabricantes de software assumam a responsabilidade de melhorar os resultados de segurança de seus clientes aplicando essas e outras táticas de segurança por design”, diz o comunicado.
“Ao usar táticas de segurança por design, os fabricantes de software podem tornar suas linhas de produtos seguras “prontas para uso”, sem exigir que os clientes gastem recursos adicionais fazendo alterações de configuração, comprando software e registros de segurança, monitorando e fazendo atualizações de rotina.”
Competição acirrada
Considerando que levou quatro anos para finalmente paralisar o LockBit, parece que o RansomHub pode ter uma jornada assustadoramente longa pela frente.
Desde que surgiu em fevereiro como uma suposta reformulação da marca Knight, ele está rotineiramente pairando nas primeiras posições nas tabelas mensais que rastreiam o número de vítimas reivindicadas por operações de ransomware.
Agora, também é a escolha preferida de ransomware para grupos sofisticados como o Scattered Spider, talvez oferecendo uma ideia de quão bem ele é considerado entre as elites cibercriminosas.
Há apenas oito meses, o RansomHub não existia e o LockBit e o ALPHV tinham um domínio firme no mercado de ransomware. Claro, havia concorrentes sérios, mas nenhum operava na mesma escala que os dois antigos gigantes.
Agora, um está pendurado por um fio e o outro não existe mais. Mas aqui temos o RansomHub competindo para tomar essa coroa e se consolidar como o novo LockBit ou ALPHV, usando seus antigos comparsas para fazer isso.
A competição, no entanto, é muito mais feroz agora do que era há apenas alguns meses. Empresas como INC, Play, Akira, Qilin e outras estão todas querendo reivindicar o primeiro lugar como seu e todas elas estão postando números semelhantes.
Há, porém, um grupo que também não deve ser descartado e que foi recentemente apontado por ser muito mais ativo do que seu site de vazamento de dados sugere.
Pesquisadores do Cisco Talos publicaram um relatório sobre o BlackByte esta semana, descobrindo que apenas cerca de 20-30 por cento do número real de vítimas são postadas em seu site de vazamento. O motivo é indeterminado.
De acordo com os especialistas, acredita-se que o BlackByte seja um desdobramento do Conti, que durante seu auge superou o sucesso do LockBit e do ALPHV.
Dito isso, apesar de supostamente ser liderado por veteranos do crime cibernético, mesmo levando em conta as vítimas que não divulga, eles não estão nem perto de ser tão ativos quanto Conti já foi, registrando apenas 41 vítimas durante todo o ano de 2023 e apenas três neste ano. ®
.
