O ecossistema de ransomware se sustentou por muito tempo a partir da liderança de dois grandes grupos de hackers. Em 2022, o cenário sofreu algumas alterações que levaram ao aumento da atividade de equipes menores.
Além disso, as estratégias de extorsão se tornaram mais refinadas. Para entender os desdobramentos dessa movimentação, continue a leitura!
O que é RaaS (Ransomware as a Service)?
Se você já está familiarizado com termos, como IaaS, PaaS e SaaS, já tem uma ideia do significado de RaaS (Ransomware as a Service). O “ransomware como serviço” é um modelo de ciberataque por contratação.
Espalhados pela dark web, criminosos vendem seus serviços de sequestro de dados em um modelo baseado na assinatura. Quem contrata, não precisa ter conhecimentos avançados sobre a utilização desses malwares.
Geralmente, grupos de hackers mais experientes constroem ferramentas com alta capacidade de intrusão e baixa probabilidade de detecção. Depois, disponibilizam o software malicioso em fóruns.
Quem compra esse tipo de serviço aceita os termos de divisão dos “resultados”, ou seja, faz o compartilhamento dos pedidos de resgate com os desenvolvedores. Cada oferta de RaaS tem seus critérios de aceite e pagamento.
Enquanto alguns grupos de hackers são mais criteriosos na escolha de seus afiliados, outros buscam qualquer perfil interessado em adquirir a ferramenta de RaaS. De toda forma, os desenvolvedores ganham com a distribuição do sistema de invasão por assinatura, independentemente do sucesso dos ataques.
A prática de Ransomware as a Service acontece na dark web, local de difícil acesso a usuários comuns da internet. Ela ganha esse nome, inclusive, por ser conhecida como um grande catálogo de ações ilícitas e crimes cibernéticos.
Não deve ser acessada por qualquer pessoa, e muito menos subestimada, pois é habitada por diversos grupos de hackers e outros perigos. Além disso, recentes mudanças no comportamento de organizações maiores pulverizaram membros da comunidade e fizeram com que novas ameaças surgissem.
Grandes grupos de hackers se dissolvem e impactam cenário de ransomware
A ameaça vem evoluindo ao longo dos anos, como mostra o relatório global de 2022, elaborado pela Sonicwall. Em 12 meses, foram contabilizados 623,3 milhões de ataques ransomware, o que representa aumento de 105% em relação a 2021.
Mais do que uma extensão no volume desses ataques hacker, a técnica também passou por processos de refinamento. Adotando, mais recentemente, novas características que potencializam sua eficiência e capacidade de extorsão.
Parte dessa evolução vem de como alguns eventos alteraram a atuação de grandes grupos de hackers, especialmente no que diz respeito sobre a “ética” e as práticas adotadas por cada um.
Isso porque cada grupo possui padrões de comportamento, como um código de conduta, o que acaba deixando rastros e auxilia na identificação de autores. Acontece que dois episódios de prisão envolvendo os grupos REvil e Conti acarretaram no desmembramento e na posterior formação de subdivisões.
Uma dessas práticas é a de não atacar instituições, como hospitais. No entanto, como mostrou o cenário do ano passado, diversas entidades vitais para o funcionamento da sociedade foram afetadas.
Na lista, divulgada pelo relatório da Sonicwall, temos: hospitais, departamentos de polícia, estações de abastecimento de água e combustíveis, além de indústrias do setor agrícola e até escolas, provando que a “ética” dos criminosos já não é assim tão seguida.
Grupos hackers ativos em 2023
Em 2022, ocorreu a prisão de diversos membros de um dos maiores grupos de hackers do mundo, o REvil. O que veio a seguir foi o desmantelamento da equipe e a derrubada de suas atividades.
Outro grande nome responsável por diversos ataques do tipo ransomware é o grupo Conti. Responsável pelo ataque que deixou a Costa Rica em estado de emergência, o grupo se desfez após o vazamento de informações internas.
Essa retirada de poder no cenário abriu espaço para a criação de subdivisões cuja autoria é creditada a ex-membros dos dois grupos citados acima.
LockBit
O grupo LockBit tomou a dianteira após a baixa das outras facções. Entre julho e setembro de 2022, o LockBit 3.0 foi responsável por 42% dos ataques globais. No final do ano passado, após sofrer ataques DDoS, o builder desse ransomware foi vazado.
Isso acabou tornando acessível o tipo de construção utilizado por uma das maiores facções da atualidade. Em outras palavras, significa que qualquer um com o conhecimento certo pode construir sua ferramenta ransom a partir do código.
Hive
O Hive é conhecido por reinfectar vítimas que negam o pedido de resgate de suas ações. De acordo com investigações do FBI, entre junho de 2021 e novembro de 2022, o grupo de hackers foi responsável por extorquir mais de 100 milhões de dólares.
Em conjunto com a Conti e vários outros, a equipe Hive foi responsável pelos ataques destinados à Costa Rica. Sua tática refinada inclui uma espécie de Help Desk, que auxilia vítimas no processo de pagamento e descriptografia dos dados, aumentando as chances de sucesso das ações.
Black Basta
Em junho do ano passado, logo após a dissolução do grupo conhecido por deixar a Costa Rica em estado de emergência, os hackers conhecidos como Black Basta acentuaram suas atividades.
Devido às similaridades de atuação de ambos esquadrões, acredita-se que ex-integrantes de Conti tenham se juntado a essa nova equipe. Com isso, tornaram-se a terceira organização de hackers mais ativa em 2022, segundo relatório do grupo Cisco Talos.
Uma das práticas mais usadas pelo grupo foi a implementação de um criptografador para sistemas Linux, tendo como alvo máquinas virtuais do tipo VMware ESXi.
Royal
Outro esquadrão que levanta suspeitas de ser formado por ex-membros da Conti, o Royal se desenvolveu rapidamente. No começo, utilizavam ferramentas de outros grupos, porém, após o desenvolvimento de seu próprio ransomware em novembro de 2022, foram responsáveis pelo maior número de ataques registrados.
Vice Society
Utilizando ferramentas de terceiros, a Vice Society foca suas investidas no setor educacional. Em 2022, ainda segundo relatório Cisco Talos, ocupou a quarta posição no ranking de atividades de grupos hacker.
Suas vítimas são geralmente instituições de ensino superior não muito privilegiadas. Eles são considerados uma espécie de praga no ecossistema de ransomware, pois não possuem escrúpulos ao atacar instituições hospitalares. Sua tática favorita é explorar a vulnerabilidade PrintNightmare.
Uma vulnerabilidade de dia zero crítica, que afetou máquinas Windows: desde servidores a sistemas operacionais e afetava o spooler de impressão. Trata-se de um escalonamento de acesso remoto, permitindo a execução de comandos como administrador.
Como essa mudança impacta o cenário de cibersegurança?
A dispersão de grandes grupos de hackers fez com que o cenário se tornasse diferente. Se antes existiam grandes facções, responsáveis pela maioria dos ataques, além de concentrar práticas e ferramentas internas bem protegidas, agora não mais.
Como você viu, houve o vazamento do código de um dos maiores grupos, além da formação e evolução de facções menores. O refinamento das práticas, assim como a mescla de abordagens, torna mais difícil a identificação dos autores.
Temos o surgimento de táticas aprimoradas de extorsão dupla ou tripla nas quais, além do sequestro das informações, os dados são duplicados e vazados gradativamente. O intuito é gerar pressão psicológica, na tentativa de forçar o pagamento de resgate.
Além disso, na tentativa de arrancar dinheiro de qualquer pessoa ou instituição que possa ser atingida pelo vazamento dos dados, os criminosos vasculham as informações à procura de mais alvos.
Essa evolução no cenário de ransomware evidencia a necessidade de trabalhar a cibersegurança como questão de infraestrutura, sendo necessária a proteção em camadas e a utilização de diversas estratégias para o sucesso na proteção dos dados.
Certamente, as movimentações entre os grupos de hackers nos faz lembrar que a melhor opção é se manter prevenido em relação à segurança da informação, já que as ameaças de ataque nunca param de se reinventar.
Quer saber mais sobre assuntos relacionados ao universo da TI e cibersegurança? Acompanhe a Datasafer pelo blog e redes sociais!
