O declínio de grandes grupos de ransomware, tais como Conti e REvil, deu lugar a gangues mais pequenos, representando um desafio para a inteligência de ameaças.
Por Lucian Constantin
O ecossistema do ransomware mudou significativamente em 2022: os atacantes passaram dos grandes grupos que dominavam a paisagem para operações menores de ransomware como serviço (RaaS) em busca de mais flexibilidade e menos atenção da aplicação da lei. Esta democratização do ransomware é uma má notícia para as organizações, pois também trouxe consigo uma diversificação de táticas, técnicas e procedimentos (TTP), mais indicadores de compromisso (IOC) para acompanhar e potencialmente mais obstáculos para saltar quando se trata de negociar ou pagar o ransomware.
“Podemos datar a aceleração das mudanças na paisagem pelo menos até meados de 2021, quando o ataque de ransomware DarkSide ao Gasoduto Colonial e o subsequente desmantelamento do REvil pela aplicação da lei levou à dispersão de várias parcerias de ransomware”, notam os investigadores do grupo Talos da Cisco no seu relatório anual. “Avançar rapidamente para este ano, onde o cenário de ransomware parece tão dinâmico como sempre, com vários grupos a adaptarem-se aos esforços cada vez mais perturbadores da aplicação da lei e da indústria privada, a lutas internas e ameaças internas, e um mercado competitivo que tem programadores e operadores a mudarem continuamente a sua filiação em busca da operação de ransomware mais lucrativa”.
Grandes grupos de ransomwares atraem demasiada atenção
Desde 2019, o cenário do ransomware tem sido dominado por operações grandes e profissionalizadas que constantemente fizeram manchetes e até procuraram a atenção dos media para ganhar legitimidade junto de potenciais vítimas. Temos visto grupos de ransomware com porta-vozes a dar entrevistas a jornalistas ou a emitir “comunicados de imprensa” no Twitter e nos seus sites de violação de dados, em resposta a grandes violações.
O ataque do DarkSide contra o Gasoduto Colonial, que causou uma grande rutura no fornecimento de combustível ao longo da costa leste dos EUA, em 2021, realçou o risco que os ataques de ransomware contra infraestruturas críticas podem representar e levou a um aumento dos esforços para combater esta ameaça aos níveis mais altos do governo. Esta maior atenção da aplicação da lei levou os proprietários de fóruns clandestinos de crimes cibernéticos a reconsiderar a sua relação com os grupos de ransomware, e alguns fóruns proibiram a publicidade a ameaças de ransomware. DarkSide cessou as operações pouco depois, e mais tarde nesse ano foi seguido por REvil, também conhecido como Sodinokibi, cujos criadores foram acusados e um deles foi preso. O REvil foi um dos grupos de ransomware mais bem-sucedidos desde 2019.
A invasão russa da Ucrânia em fevereiro de 2022 rapidamente esticou as relações entre muitos grupos de ransomware que tinham membros e afiliados tanto na Rússia como na Ucrânia ou noutros países da ex-URSS. Alguns grupos, como o Conti, foram rápidos a tomar partido na guerra, ameaçando atacar as infraestruturas ocidentais em apoio à Rússia. Isto foi um afastamento da abordagem apolítica e comercial habitual com que os gangues de ransomware tinham conduzido as suas operações e atraído críticas de outros grupos concorrentes.
Seguiu-se uma fuga de comunicações internas que expôs muitos dos segredos operacionais da Conti e causou mal-estar entre as suas afiliadas. Após um grande ataque ao governo da Costa Rica, o Departamento de Estado norte-americano ofereceu uma recompensa de 10 milhões de dólares por informações relacionadas com a identidade ou localização dos líderes Conti, o que provavelmente contribuiu para a decisão do grupo de encerrar as suas operações em maio.
A morte da Conti levou a uma queda na atividade de ransomware durante alguns meses, mas não durou muito tempo, uma vez que o vácuo foi rapidamente preenchido por outros grupos, alguns deles recentemente criados e suspeitos de serem fundados por antigos membros do Conti, REvil e outros grupos que cessaram as operações nos últimos dois anos.
Gangues de ransomwares ativos de topo a observar em 2023
LockBit assume a liderança
O LockBit é o principal grupo que intensificou as suas operações após o encerramento da Conti, renovando o seu programa de afiliados e lançando uma nova e melhorada versão do seu programa de ransomware. Embora esteja a funcionar desde 2019, só em 2019 é que este grupo conseguiu passar para a vanguarda da paisagem de ameaça de ransomware.
De acordo com relatórios de várias empresas de segurança, a LockBit 3.0 foi responsável pelo maior número de incidentes de ransomware durante o terceiro trimestre de 2022 e foi o grupo com o maior número de vítimas listadas no seu website de violação de dados durante todo o ano. Este grupo pôde ver as suas próprias divisões em 2023, uma vez que o construtor da LockBit foi vítima de uma fuga de informação por parte de um antigo construtor descontente. Agora, qualquer pessoa pode construir a sua própria versão personalizada do ransomware. De acordo com Cisco Talos, um novo grupo de ransomware denominado Bl00dy Gang já começou a utilizar o construtor LockBit 3.0, que foi objecto de fugas, em ataques recentes.
A Hive extorquiu mais de 100 milhões de dólares
O grupo com o maior número de vítimas reclamadas em 2022 após a LockBit, de acordo com Cisco Talos, é o Hive. Esta foi a principal família de ransomwares observada em todos os compromissos de resposta a incidentes de Talos este ano e terceira na lista de casos de resposta a incidentes para Palo Alto Networks depois de Conti e LockBit. De acordo com um comunicado conjunto do FBI, da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e do Departamento de Saúde e Serviços Humanos dos EUA (HHS), este grupo conseguiu extorquir mais de 100 milhões de dólares a mais de 1.300 empresas em todo o mundo entre junho de 2021 e novembro de 2022.
“Sabe-se que os atores do Hive reinfectaram as redes de organizações de vítimas que restabeleceram a sua rede sem fazer o pagamento do ransomware”, disseram as agências.
Black Basta, um spinoff de Conti
O terceiro gangue de ransomware mais prolífico de 2022, segundo as observações de Talos, foi o Black Basta, um grupo suspeito de ser um spinoff do Conti, dadas algumas semelhanças nas suas técnicas. O grupo começou a funcionar em abril, não muito antes do encerramento do Conti, e rapidamente desenvolveu o seu kit de ferramentas. O grupo conta com o Trojan Qbot para a sua distribuição e explora a vulnerabilidade do PrintNightmare.
A partir de junho, o grupo introduziu também um encriptador de ficheiros para sistemas Linux, visando principalmente as máquinas virtuais VMware ESXi. Esta expansão cruzada de plataformas também foi observada noutros grupos de ransomware, tais como LockBit e Hive, ambos com encriptadores Linux, ou em ransomware como o ALPHV (BlackCat), escrito em Rust, que lhe permite correr em múltiplos sistemas operativos. Golang, outra linguagem de programação multiplataforma e tempo de execução, foi também adotada por alguns gangues mais pequenos de ransomware, tais como HelloKitty (FiveHands).
O grupo Royal ganha tração
Outro grupo suspeito de ligações ao Conti que surgiu no início deste ano é o Royal. Enquanto inicialmente utilizava ransomwares de outros grupos, tais como BlackCat e Zeon, o grupo desenvolveu o seu próprio encriptador de ficheiros que parece ser inspirado por ou baseado em Conti e rapidamente ganhou impulso, tomando a liderança da LockBit em termos de número de vítimas em novembro. A este ritmo, espera-se que o Royal seja uma das principais ameaças de ransomware até 2023.
O Vice Society tem como alvo o setor da educação
O Royal não é o único exemplo de um grupo de ransomwares bem-sucedido que obteve sucesso reutilizando os ransomwares desenvolvidos por outros. Um desses grupos, chamado Vice Society, é o quarto maior com base no número de vítimas listadas no seu site de violação de dados, de acordo com a Cisco Talos. Este grupo visa principalmente organizações do setor da educação e baseia-se em famílias de ransomwares pré-existentes, tais como HelloKitty e Zeppelin.
Mais grupos de ransomware, um desafio para a inteligência de ameaças
“O fim dos grandes monopólios de ransomwares colocou um desafio para os analistas de inteligência de ameaças”, dizem os investigadores da Cisco Talos. “Pelo menos oito grupos são responsáveis por 75% dos lançamentos em sítios de violação de dados que a Talos monitoriza ativamente. A emergência de novos grupos torna a atribuição difícil, uma vez que os adversários trabalham em múltiplos grupos RaaS”.
Alguns grupos como o LockBit começaram a introduzir métodos de extorsão adicionais, tais como os ataques DDoS, para forçar as suas vítimas a pagarem resgates. Esta tendência irá provavelmente continuar em 2023, uma vez que se espera que os grupos de ransomware concebam novas táticas de extorsão para rentabilizar os ataques às vítimas onde forem detetados antes de se proceder ao envio da carga útil final dos ransomware. Metade dos casos de resposta a incidentes de ransomware da Cisco Talos ocorreram na fase de pré-ransomware, demonstrando que as empresas estão a melhorar na deteção de TTP associados a atividades de pré-ransomware.