.
O grupo de ransomware Everest está intensificando seus esforços para adquirir acesso a redes corporativas diretamente dos funcionários, em meio ao que os pesquisadores acreditam ser uma grande transição para os cibercriminosos.
Em uma postagem no topo de seu blog sobre vítimas da dark web, o Everest disse que oferecerá uma “boa porcentagem” dos lucros gerados por ataques bem-sucedidos para aqueles que ajudarem em sua intrusão inicial.
O grupo também prometeu oferecer aos parceiros “total transparência” quanto à natureza de cada operação, bem como confidencialidade sobre o seu papel no ataque.
O Everest procura especificamente acesso a organizações sediadas nos EUA, Canadá e Europa e aceitaria acesso remoto por vários meios, incluindo TeamViewer, AnyDesk e RDP.
A linguagem usada nos fóruns de crimes cibernéticos sugere que o grupo fala russo, mas também foi observado que usa o inglês com menos frequência.
Mensagem do grupo de ransomware Everest em seu blog na deep web anunciando sua intenção de recrutar membros corporativos
A mensagem é a mesma postada pela primeira vez em julho, na mesma época em que os pesquisadores sugeriram que o jogo do ransomware poderia ser totalmente abandonado.
Nos últimos meses, o grupo de ransomware está mostrando maior evidência de uma mudança “extremamente rara” para se tornar um corretor de acesso inicial (IAB), de acordo com a Searchlight Cyber.
Começou a atuar como IAB em 2021, mas tem apresentado maiores níveis de atividade do IAB desde novembro de 2022.
Um IAB é um tipo de grupo frequentemente pago por criminosos de ransomware para transferir o acesso à rede de uma organização, às vezes para mais de um grupo ao mesmo tempo, simplificando a implantação do ransomware.
As possíveis razões para a rara mudança do grupo de ransomware para o IAB, que normalmente levaria a um negócio menos lucrativo, não são totalmente compreendidas, mas especula-se que incluem a evasão da aplicação da lei e a perda de membros da equipe.
As apreensões de gangues de ransomware coordenadas internacionalmente estão se tornando mais comuns e o Everest pode estar tentando evitar se tornar o próximo Colmeia ou REvil. Com o encerramento do BreachForums no início deste ano, os investigadores disseram que também poderia estar a tentar usar a sua notoriedade como uma força de ransomware estabelecida como forma de vender o seu acesso como parte de um novo modelo de negócio.
“Também é possível que uma mudança de pessoal dentro do grupo o tenha forçado a mudar suas táticas de ransomware”, disse Searchlight Cyber.
“Por exemplo, lutas internas dentro de grupos cibercriminosos são comuns, e é possível que a pessoa envolvida na parte de criptografia do ataque de ransomware tenha saído, deixando menos capacidade técnica e habilidades para realizar ataques de ransomware completos.
“Se os membros do grupo envolvidos no acesso inicial permanecerem, isso explicaria por que o grupo tem realizado principalmente o IAB nos últimos meses”.
Aderindo ao que sabe
Apesar das evidências mostrarem maior atividade do IAB no Everest, isso não quer dizer que nunca mais voltará a ser um grupo focado em ransomware, ou que não esteja tentando continuar com o ransomware agora.
Ao longo de seus três anos de história, o Everest oscilou regularmente entre IAB e atividades de ransomware. Novembro de 2021 foi a primeira vez que o acesso IAB foi vendido, mas durante a maior parte de 2022 foi predominantemente perseguido por ransomware.
É possível que o último anúncio de acesso interno seja o Everest tentando cortar o acesso interno para seus próprios ataques, uma medida que poderia levar a maiores lucros gerados por ataques de ransomware.
“Organizações de todos os tipos estão otimizando seus modelos de negócios e, onde veem custos desnecessários, cortando-os”, disse Harry McLaren, chefe de engenharia de segurança da SenseOn.
“Os atores da ameaça não são diferentes e, num espaço cada vez mais competitivo, eliminar os IABs poderia melhorar os seus retornos financeiros. Os ataques diretos do ator da ameaça à vítima foram o método histórico usado por todas as ameaças e ainda são usados por muitas APTs para minimizar a conscientização ou descoberta.”
No que diz respeito ao sucesso potencial de atrair pessoas internas para ataques, o Everest provavelmente terá que gastar tempo examinando quaisquer entrevistados ao seu anúncio.
Tentativas de alavancar insiders nem sempre funcionacomo foi o caso quando o FBI frustrou o que poderia ter sido um ataque altamente lucrativo a um importante alvo dos EUA em 2021.
Se esta for uma tentativa de renunciar aos IABs e seguir uma rota mais direta, os especialistas pensam que os cibercriminosos não terão a vida mais fácil, uma vez que o conjunto de potenciais alvos dispostos, na maioria das organizações, seria bastante pequeno.
“Embora seja difícil prever quantos insiders dentro das organizações estarão dispostos a vender acesso a eles, a probabilidade definitivamente não é zero”, disse Alexey Kleymenov, gerente de inteligência de ameaças do Nozomi Networks Labs. Strong The One.
“Por exemplo, todos nós ouvimos histórias de funcionários descontentes que tentavam causar danos às suas organizações como forma de vingança”.
Atrair pessoas de dentro
A tática de deixar funcionários insatisfeitos ou rebeldes não é nova e foi adotada por vários grupos cibercriminosos ao longo dos anos, como o LockBit.
De acordo com um 2022 enquete pela Pulse e pela Bravura Security, 65% dos executivos corporativos foram contatados diretamente por criminosos de ransomware para ajudar a facilitar o acesso às redes de seus empregadores.
Promessas de grandes pagamentos são feitas aos profissionais em troca de facilitar o acesso dos ladrões ou de implantar eles próprios o ransomware.
Uma investigação da Abnormal Security em 2021 revelado que alguém que alegou fazer parte da gangue Demonware ofereceu 40% do lucro total de um ataque bem-sucedido em troca da implantação do ransomware.
Em uma troca inicial, a Demonware ofereceu a uma pessoa falsa adotada pelos pesquisadores uma quantia de US$ 1 milhão em Bitcoin após presumir que eles seriam capazes de resgatar com sucesso uma organização por US$ 2,5 milhões.
Outras conversas revelaram que quando os ataques iniciais de phishing direcionados a executivos falham, os criminosos recorrem a pessoas internas para obter acesso. ®
.
