Número de grupos ativos de ransomware mais alto já registrado

Este ano registou-se o maior número de grupos de ransomware ativos alguma vez registado, com 58 ataques a empresas globais no segundo trimestre. O provedor de plataforma de inteligência de ameaças Cyberint relatou apenas uma ligeira queda no terceiro trimestre, com 57 grupos ativos.

Além disso, no terceiro trimestre, os 10 principais grupos de ransomware foram responsáveis ​​por apenas 58,3% de todos os ataques detectados. Isto reflecte tanto o aumento do número de grupos activos em geral como um declínio na actividade dos grandes intervenientes, graças às remoções bem sucedidas das autoridades, como as do ALPHV e do Dispossessor.

Adi Bleih, pesquisador de segurança da Cyberint, disse ao TechRepublic por e-mail: “O número de grupos de ransomware ativos atingindo um nível mais alto significa que as empresas enfrentam um risco maior de ataques, já que cada uma dessas gangues concorrentes deve agora competir pelos alvos. A competição entre diferentes grupos de ransomware tem alimentado ataques cada vez mais frequentes, deixando muito pouco espaço para erros por parte das equipes de segurança cibernética corporativa.

“Embora as falhas e vulnerabilidades de segurança possam ter passado despercebidas anteriormente, a proliferação de grupos de ransomware, com todos eles vasculhando a web em busca de suas próximas vítimas, significa que mesmo erros menores podem agora levar rapidamente a grandes incidentes de segurança.”

Os grupos de ransomware mais prolíficos estão sucumbindo às operações policiais

Na verdade, uma pesquisa separada da WithSecure descobriu que dos 67 grupos de ransomware rastreados em 2023, 31 não estavam mais operacionais no segundo trimestre de 2024. O Grupo NCC também observou um declínio ano após ano nos ataques de ransomware em junho e julho deste ano, o que especialistas ligados à interrupção do LockBit.

VEJA: LockBit está de volta online enquanto gangue de ransomware continua a entrar em conflito com as autoridades

O LockBit costumava ser responsável pela maioria dos ataques, mas com apenas 85 ataques no terceiro trimestre, atacou quase 60% menos empresas do que no segundo, de acordo com o relatório da Cyberint. Isto marca o menor número de ataques trimestrais do grupo em um ano e meio.

Um relatório de agosto da Malwarebytes também descobriu que a proporção de ataques de ransomware pelos quais a LockBit assumiu responsabilidade caiu de 26% para 20% no ano passado, apesar de realizar mais ataques individuais.

ALPHV, o segundo grupo de ransomware mais prolífico, também criou uma vaga após um ataque cibernético executado de maneira descuidada contra a Change Healthcare em fevereiro. O grupo não pagou a um afiliado sua porcentagem do resgate de US$ 22 milhões, então o afiliado os expôs, levando a ALPHV a falsificar uma aquisição policial e cessar as operações.

VEJA: Linha do tempo: 15 ataques cibernéticos e violações de dados notáveis

Estas observações sugerem que as remoções por parte das autoridades estão a revelar-se eficazes contra os gangues mais estabelecidos, ao mesmo tempo que abrem novas oportunidades para grupos mais pequenos. Os analistas da Malwarebytes acrescentaram que as novas gangues “certamente tentarão atrair seus afiliados e suplantá-los como forças dominantes no ransomware”.

Mas os analistas da Cyberint estão otimistas sobre o efeito cascata das operações de remoção em players menores, escrevendo: “À medida que essas grandes operações enfrentam dificuldades, é apenas uma questão de tempo até que outros grandes e pequenos grupos de ransomware sigam o mesmo caminho. A repressão em curso criou um ambiente mais hostil para estes grupos, sinalizando que o seu domínio pode não durar muito mais tempo.”

Na verdade, em vez de continuar a tendência ascendente do segundo trimestre, onde o número de ataques de ransomware aumentou quase 21,5%, os investigadores da Cyberint descobriram que os 1.209 casos no terceiro trimestre marcaram, na verdade, uma diminuição de 5,5%.

VEJA: Ataques cibernéticos globais dobrarão de 2020 a 2024, conclui relatório

O grupo de ransomware mais proeminente do trimestre foi o RansomHub, responsável por 16,1% de todos os casos, fazendo 195 novas vítimas. Os ataques proeminentes incluem os da fabricante global Kawasaki e da empresa de serviços de petróleo e gás Halliburton. Os analistas da Cyberint dizem que as raízes do grupo estão provavelmente na Rússia e que tem ligações com antigas afiliadas do agora inativo grupo ALPHV.

Em segundo lugar na lista dos grupos de ransomware mais ativos está o Play, que fez 89 vítimas e 7,9% de todos os casos. Supostamente, ele executou mais de 560 ataques bem-sucedidos desde junho de 2022, sendo o mais proeminente deste ano direcionado ao ambiente VMWare ESXi.

“Se não for impedido, o Play quebrará o seu próprio recorde de vítimas anuais em 2024 (301)”, escreveram os analistas.

Grupos de ransomware direcionados aos sistemas Linux e VMWare ESXi

O relatório da Cyberint observou uma tendência de que os grupos de ransomware estão se concentrando fortemente em sistemas baseados em Linux e servidores VMware ESXi.

VMware ESXi é um hipervisor bare-metal que permite a criação e o gerenciamento de máquinas virtuais diretamente no hardware do servidor, que pode incluir servidores críticos. Comprometer o hipervisor pode permitir que invasores desativem diversas máquinas virtuais simultaneamente e removam opções de recuperação, como instantâneos ou backups, garantindo um impacto significativo nas operações de uma empresa.

Os grupos de ransomware Play e Cicada3301 desenvolveram ransomware que visa especificamente servidores VMWare ESXi, enquanto Black Basta explorou vulnerabilidades que lhes permitem criptografar todos os arquivos das VMs.

VEJA: Black Basta Ransomware atingiu mais de 500 organizações em todo o mundo

Os sistemas Linux também hospedam frequentemente VMs e outras infraestruturas críticas de negócios. Esse foco destaca o interesse dos ciberataques nos enormes ganhos resultantes da execução de danos máximos nas redes corporativas.

Os invasores estão usando malware personalizado e explorando ferramentas legítimas

A sofisticação das técnicas dos grupos de ransomware aumentou consideravelmente no ano passado, com os pesquisadores da Cyberint observando os invasores usando malware personalizado para contornar as ferramentas de segurança. Por exemplo, a gangue Black Basta usou uma série de ferramentas personalizadas após obter acesso inicial aos ambientes alvo.

Os invasores também estão explorando ferramentas legítimas de segurança e armazenamento em nuvem para evitar a detecção. O RansomHub foi observado usando o removedor de rootkit TDSSKiller da Kaspersky para desabilitar a detecção e resposta de endpoint e a ferramenta de recuperação de senha LaZagne para coletar credenciais. Além disso, vários grupos usaram as ferramentas Azure Storage Explorer e AzCopy da Microsoft para roubar dados corporativos e armazená-los em infraestrutura baseada em nuvem.

Bleih disse ao TechRepublic: “À medida que essas gangues se tornam mais bem-sucedidas e bem financiadas, elas se tornam cada vez mais sofisticadas e operam de forma semelhante a uma empresa legítima. Embora muitas vezes vejamos os mesmos vetores de ataque testados e comprovados usados ​​– ataques de phishing, uso de credenciais roubadas, exploração de vulnerabilidades em ativos voltados para a Internet – eles estão se tornando mais criativos na forma como executam essas técnicas comuns.

“Eles também estão se tornando cada vez mais ágeis e escaláveis. Por exemplo, embora os agentes de ameaças sempre tenham sido tecnicamente competentes, agora eles são capazes de começar a explorar novas vulnerabilidades em escala apenas alguns dias após a documentação de um CVE crítico. No passado, isso pode ter levado semanas ou talvez mais.”