Tag: RaaS

LockBit: O grupo de ransomware que dominou 2023 e seus desafios atuais

O LockBit, um grupo de Ransomware como Serviço (RaaS) ativo desde setembro de 2019, tem sido um dos principais atores no cenário de cibersegurança. Como um “provedor” de RaaS, o LockBit fornece a infraestrutura necessária para que outros cibercriminosos, conhecidos como afiliados, realizem seus ataques. Isso permitiu ao LockBit expandir suas operações e atingir um grande número de vítimas. Além disso, o grupo implementa a técnica de “dupla extorsão” em seus ataques, ameaçando publicar os dados roubados caso o resgate não seja pago.

LockBit: O grupo de ransomware que dominou 2023 e seus desafios atuais
Imagem reprodução: Check Point Software

De acordo com especialistas da Check Point Software, uma fornecedora global de soluções de cibersegurança baseadas em IA, o LockBit foi o grupo de ransomware mais dominante em 2023 em termos do número de vítimas extorquidas, afetando mais de 1.000 organizações em todo o mundo. Os países mais impactados por esse grupo foram os Estados Unidos, Reino Unido, França, Alemanha e Canadá, com os setores de manufatura e varejo sendo os mais atacados.

Recentemente, o LockBit enfrentou uma disputa significativa em um importante fórum clandestino russo, resultando em uma proibição de qualquer atividade no fórum devido a questões éticas questionáveis. Isso levou a uma interrupção significativa das operações do grupo RaaS, já que foi banido dos dois principais fóruns de hacking russos.

Especialistas acreditam que essa combinação de fatores terá um grande impacto nas operações do LockBit, especialmente em termos de reputação, e criará desafios significativos para recrutar e manter afiliados que operam esse ransomware. No entanto, é comum que esses grupos populares não desapareçam completamente, então é possível que vejamos algum tipo de “rebranding” ou reformulação do grupo no futuro.

Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software Technologies, comentou sobre a situação: “É um momento difícil para o LockBit, que recentemente foi removido de dois fóruns russos de cibercrime devido à sua ética empresarial questionável. Essa última ação das autoridades do Reino Unido e dos Estados Unidos será um golpe duro para suas operações e provavelmente afetará sua capacidade de recrutar e manter afiliados”.

Shykevich acrescenta: “No entanto, como vimos no passado, os grupos de ransomware são muito resilientes e podem ressurgir sob uma identidade diferente em pouco tempo. A ameaça deste grupo de cibercriminosos e de outros grupos de ransomware continuará, e as empresas devem estar sempre alertas”. Essas palavras são particularmente pertinentes à luz das recentes notícias de que a National Crime Agency (NCA) do Reino Unido e outras agências e autoridades policiais internacionais assumiram o controle dos serviços do LockBit e comprometeram sua operação criminosa.

Tags:,

Ransomware Satã começa a operar como parte de uma plataforma RaaS

A cada dia que se passa, os meios não-legais de obtenção de dinheiro não só aumentam como também nos surpreendem cada vez mais.

Esta semana, o pesquisador independente de segurança Xylit0l descobriu um novo malware chamado de Satã. Faz parte da família Gen:Trojan.Heur2.FU. Foi lançado ao público como parte de uma plataforma RaaS.

A plataforma RaaS (Ransomware as a Service) é um serviço que permite a qualquer pessoa criar uma versão personalizada de um Ransomware. Para isso a pessoa só precisa abrir uma conta no serviço solicitado.

Divulgação dos serviços fornecidos pela plataforma RaaS / Foto: Xylit0l

Como funciona

Utilizando os serviços da plataforma, a pessoa pode determinar o meio de distribuição do ransomware, o meio do pagamento de resgate, registros do pagamento de taxas, acompanhamento de transações, um serviço de tradução para outras línguas, entre outros. Os usuários também podem criar “notas” relacionadas as suas vítimas, aprender como configurar proxies de gateway e receber instruções sobre como testar seu malware em uma máquina física.

Plataforma RaaS em execução / Foto: Xylit0l

Para utilizar esses todos esses serviços, o desenvolvedor do RaaS cobra um valor de 30% sob o resgate pago por uma vitima, mas esse valor pode ser menor dependendo do valor do resgate.

O ransomware Satã criptografa os arquivos de uma vítima usando a criptografia RSA-2048 e AES-246, que é praticamente impossível de descriptografar. Portanto, as vítimas são obrigadas a pagar o resgate para ter acesso aos seus dados.

Uma vez que o sistema foi infectado com Satã através de campanhas de phishing ou links maliciosos, o malware criptografa os arquivos com a extensão .stn antes de colocar um arquivo HTML no desktop dos sistemas comprometidos que instruirá as vítimas sobre o que fazer.

A nota de resgate, em seguida, orienta as vítimas a instalar o navegador Tor, que é uma exigência para alcançar domínios da web que não são indexados pelos motores de busca típicos. As vítimas recebem então o link .onion para a página do pagamento de resgate. Lá, eles têm que pagar em Bitcoin para receber as chaves para descriptografar seus arquivos, mas a quantidade depende inteiramente das especificações colocada pelo usuário na plataforma RaaS.

O ransomware infecta apenas os sistemas Windows e, até o presente momento, não há nenhuma maneira de decifrar os arquivos de graça. Por enquanto, a única dica que posso lhe dar é: cuidado onde clica e cuidado com o que baixa.

Via

Tags:, , , , , , , ,