.
RansomHub, uma nova operação de crime cibernético que alegou estar por trás do roubo de dados da casa de leilões Christie’s e de outras, é “muito provavelmente” algum tipo de reformulação da gangue de ransomware Knight, de acordo com caçadores de ameaças.
Surgindo em fevereiro, o RansomHub tem sido extremamente ativo: ele se gaba de roubar e, em seguida, leiloar, de forma um tanto irônica, os dados dos clientes da Christie’s, junto com informações internas roubadas da empresa de telecomunicações de banda larga dos EUA Frontier Communications – e até mesmo da Change Healthcare depois que uma afiliada da ALPHV já havia conseguido US $ 22 milhões por extorquir com sucesso o conglomerado médico com ransomware.
Durante os últimos três meses, o RansomHub foi a quarta equipe de ransomware mais prolífica em termos de número de ataques alegados, pelo menos de acordo com a Symantec. Para que conste: LockBit permaneceu em primeiro lugar no ranking da Symantec, com 489 infecções por ransomware, seguido por Play (101), Qilin (92) e RansomHub (61).
A Symantec investigou alguns dos ataques recentes do RansomHub, e sua equipe de inteligência relata que os criminosos frequentemente obtiveram acesso às vítimas abusando da vulnerabilidade de elevação de privilégio ZeroLogon (CVE-2020-1472) no protocolo remoto netlogon da Microsoft.
Depois de invadirem um ambiente de TI, os bandidos implantam um punhado de ferramentas legítimas, incluindo Atera e Splashtop para acesso remoto e NetScan para coletar informações sobre dispositivos de rede.
Finalmente, os malfeitores implantam uma carga útil de ransomware, que exfiltra e criptografa os arquivos infectados dos PCs Windows. O não pagamento da demanda resultará no vazamento ou venda dos dados roubados. O RansomHub até pressiona as vítimas, sugerindo que seus rivais comerciais podem comprar seus documentos internos se o resgate não for pago.
A loja de segurança de propriedade da Broadcom analisou o malware da gangue e encontrou um alto grau de sobreposição de código entre o RansomHub e o Knight, que se acredita ser uma reformulação do ransomware Cyclops original.
Ambos são escritos em Go, e a maioria das variantes usa Gobfuscate para encobrir seus rastros. O código do RansomHub e do Knight é tão semelhante que, “em muitos casos, uma determinação só pode ser confirmada verificando o link incorporado para o site de vazamento de dados”, opinou a equipe da Symantec.
Além disso, ambos têm praticamente os mesmos menus de ajuda disponíveis na linha de comando, com a única diferença sendo um comando sleep no RansomHub.
As notas de resgate até compartilham algumas das mesmas frases, “sugerindo que os desenvolvedores simplesmente editaram e atualizaram o original [Knight] nota”, opinou a Symantec.
Depois que Knight encerrou suas operações e vazou o site, parece que os operadores venderam o código. A equipe da Symantec diz que é “improvável” que os chefes de Knight estejam agora executando o RansomHub – mas é provável que alguém tenha comprado o código-fonte e o atualizado antes de lançar sua própria operação de ransomware como serviço.
Um ex-afiliado do ALPHV que atende por Notchy e afirma estar por trás da intrusão do Change Healthcare em fevereiro, está supostamente trabalhando com o RansomHub.
Na verdade, a interrupção do ALPHV pela polícia em dezembro de 2023 pode ter algo a ver com o sucesso do RansomHub em atrair afiliados, sugeriu a Symantec. “Ferramentas anteriormente associadas a outro [ALPHV] afiliado conhecido como Scattered Spider, foram usados em um ataque recente do RansomHub”, observou a empresa de inteligência sobre ameaças.
Isso não é um bom presságio para os esforços do grupo para encerrar grandes operações de crimes cibernéticos, que podem cada vez mais parecer um jogo de golpe-a-toupeira, com novos sites e reinicializações de ransomware aparecendo logo após a polícia destruir versões anteriores.
“O ecossistema do crime cibernético tornou-se muito segmentado, com muitos indivíduos e grupos especializados em áreas específicas e colaborando para realizar ataques”, disse Dick O’Brien, principal analista de inteligência da Symantec. O registro. “Isso certamente torna tudo mais desafiador para a aplicação da lei, porque se você encerrar um grupo de ransomware, seus afiliados poderão migrar para outros grupos de ransomware.”
No entanto, isso não significa que seja uma batalha perdida, acrescentou.
“Isso não quer dizer que as operações de aplicação da lei não tenham valor”, disse O’Brien. “Eles podem remover figuras-chave do submundo, perturbar o ritmo dos ataques e criar suspeitas e discórdia entre os atores do crime cibernético”. ®
.
