.
O grupo de crimes cibernéticos Scattered Spider agora está usando variantes de ransomware RansomHub e Qilin em seus ataques, ilustrando uma possível mudança de poder entre os grupos de hackers.
Tudo isso de acordo com os compromissos de resposta a incidentes do segundo trimestre do ano envolvendo a Microsoft, que descreveu o grupo como um dos mais sofisticados e ameaçadores do gênero atualmente em operação.
A Aranha Dispersa, rastreada como Octo Tempest pela Microsoft, ou os outros zilhões de pseudônimos que ela tem, dependendo de quem está falando, é responsável por “uma grande parte de [Microsoft’s] investigações.”
Antes de o governo federal paralisá-lo em dezembro, o Scattered Spider costumava depender da carga de ransomware do ALPHV/BlackCat — antigamente o maior cão do canil de ransomware (junto com o LockBit) — então a adoção do RansomHub e do Qilin por um grupo como o Scattered Spider demonstra o quão seriamente a nova guarda está sendo levada.
A Microsoft disse em uma atualização de inteligência de ameaças/Xeet esta semana que o RansomHub está sendo adotado por um número cada vez maior de cibercriminosos, incluindo aqueles que também costumavam confiar no código de malware do ALPHV. É “uma das famílias de ransomware mais disseminadas” em circulação hoje, acrescentou Redmond.
“Notavelmente, o RansomHub foi observado sendo implantado em atividade pós-comprometimento pelo Manatee Tempest após o acesso inicial pelo Mustard Tempest via infecções FakeUpdates/Socgholish”, disse Redmond.
O RansomHub surgiu em fevereiro de 2024 como uma reformulação da equipe de ransomware Knight e, desde então, assumiu a responsabilidade por ataques de alto perfil contra empresas como Christie’s, Frontier Communications e a rede de farmácias americana Rite Aid.
Grupos de criminosos cibernéticos como RansomHub, Qilin, Akira e Play entraram em cena para devorar a fatia de mercado deixada pela ALPHV/BlackCat, que sofreu um golpe de saída logo após receber o pagamento do resgate da Change Healthcare, e pela LockBit — que ainda existe, mas foi amplamente abandonada pelos afiliados desde que a Operação Cronos fechou partes da rede.
A Microsoft disse que BlackSuit, Medusa e Black Basta também eram famílias de ransomware preocupantes.
Novas crianças na vizinhança
O próprio RansomHub surgiu pela primeira vez no início deste ano, mas já reivindicou o novo primeiro lugar de seus concorrentes mais estabelecidos. A Microsoft agora está rastreando duas famílias de ransomware mais novas que ela diz ter surgido nos últimos meses.
A neblina é uma dessas variantes, cujos primeiros avistamentos datam de maio, de acordo com uma equipe da loja de segurança Arctic Wolf.
Em seu primeiro mês, a equipe disse que todas as suas vítimas estavam baseadas nos EUA, e a vasta maioria (80 por cento) dos ataques teve como alvo o setor educacional. Os outros 20 por cento atingiram indústrias de recreação.
Arctic Wolf não conseguiu dar a ele o status de “grupo de ransomware”, pois é muito novo para determinar que tipo de estrutura organizacional ele tem. O modelo de negócios mais popular é o ransomware-as-a-service (RaaS), então é possível que a Fog possa ser sua própria operação com afiliados, mas nada é certo ainda.
A Microsoft também detectou o Fog pela primeira vez em maio, mas também atribuiu sua atividade a um grupo rastreado como Storm-0844. A Microsoft nomeia os grupos de “Storm” quando eles ainda estão em desenvolvimento e ainda não formaram uma identidade clara.
Dito isso, o Storm-0844 é conhecido pela Microsoft como o grupo que implantou a cepa de ransomware Akira e, nos dois meses desde que o Fog entrou em cena, o Storm-0844 parece agora favorecer a variante mais recente em vez do Akira, que é uma operação bem estabelecida.
Isso pode ser baseado em vários fatores ou uma combinação deles. Criptografia mais confiável é uma possível explicação para a mudança nas ferramentas, assim como o fato de que pesquisadores desenvolveram uma série de descriptografadores para variantes do ransomware Akira. Há também a possibilidade de que a Fog ofereça uma melhor parte de quaisquer pagamentos de resgate, o que é sempre uma perspectiva atraente para um grupo criminoso motivado financeiramente.
O ransomware FakePenny é outra dessas variantes que surgiu no último trimestre, com implementadores notáveis, incluindo o Moonstone Sleet, também conhecido como canalhas patrocinados pelo Estado norte-coreano.
Tanto o FakePenny quanto o MoonstoneSleet são rostos novos no cenário de ameaças, com a Microsoft rastreando o último por menos de um ano. O grupo criminoso foi flagrado, de forma típica para a nação eremita, tentando levantar fundos fraudando economias ocidentais por meio de pagamentos de malware e ransomware na região de US$ 6,6 milhões cada. ®
.
