O Federal Bureau of Investigation (FBI) dos EUA anunciou na segunda-feira a interrupção da infraestrutura on-line associada a um grupo emergente de ransomware chamado Dispossessor (também conhecido como Radar).
O esforço viu o desmantelamento de três servidores dos EUA, três servidores do Reino Unido, 18 servidores alemães, oito domínios criminosos baseados nos EUA e um domínio criminoso baseado na Alemanha. Dizem que o Dispossessor é liderado por indivíduos que atendem pelo apelido on-line “Mind”.
“Desde sua criação em agosto de 2023, o Radar/Dispossessor rapidamente se tornou um grupo de ransomware de impacto internacional, visando e atacando pequenas e médias empresas e organizações dos setores de produção, desenvolvimento, educação, saúde, serviços financeiros e transporte”, disse o FBI em um comunicado.
Cerca de 43 empresas foram identificadas como vítimas de ataques do Dispossessor, incluindo aquelas localizadas na Argentina, Austrália, Bélgica, Brasil, Canadá, Croácia, Alemanha, Honduras, Índia, Peru, Polônia, Emirados Árabes Unidos, Reino Unido e EUA.
Dispossessor, notável por suas similaridades com o LockBit, surgiu como um grupo de ransomware-as-a-service (RaaS) seguindo o mesmo modelo de extorsão dupla pioneiro de outras gangues de crimes eletrônicos. Esses ataques funcionam exfiltrando dados da vítima para mantê-los para resgate, além de criptografar seus sistemas. Usuários que se recusam a fazer um acordo são ameaçados com a exposição de dados.
Foi observado que cadeias de ataque montadas por agentes de ameaças utilizam sistemas com falhas de segurança ou senhas fracas como ponto de entrada para violar alvos e obter acesso elevado para bloquear seus dados atrás de barreiras de criptografia.
“Depois que a empresa period atacada, se eles não contatassem o criminoso, o grupo entraria em contato proativamente com outras pessoas na empresa vítima, por e-mail ou telefonema”, disse o FBI.
“Os e-mails também incluíam hyperlinks para plataformas de vídeo nas quais os arquivos roubados anteriormente tinham sido apresentados. Isso sempre teve o objetivo de aumentar a pressão da chantagem e aumentar a disposição para pagar.”
Relatórios anteriores da empresa de segurança cibernética SentinelOne descobriram que o grupo Dispossessor estava anunciando dados já vazados para obtain e venda, acrescentando que “parece estar republicando dados anteriormente associados a outras operações, com exemplos que vão desde Cl0p, Hunters Worldwide e 8Base”.
A frequência dessas remoções é mais uma indicação de que as agências de segurança em todo o mundo estão intensificando os esforços para combater a ameaça persistente do ransomware, mesmo que os agentes da ameaça estejam encontrando maneiras de inovar e prosperar no cenário em constante mudança.
Isso inclui um aumento nos ataques realizados por meio de contratados e provedores de serviços, destacando como os agentes de ameaças estão usando relacionamentos confiáveis em seu benefício, já que “essa abordagem facilita ataques em larga escala com menos esforço, muitas vezes passando despercebidos até que vazamentos de dados ou dados criptografados sejam descobertos”.
Dados coletados pela Unidade 42 da Palo Alto Networks em websites de vazamento mostram que os setores mais impactados pelo ransomware durante o primeiro semestre de 2024 foram manufatura (16,4%), saúde (9,6%) e construção (9,4%).
Alguns dos países mais visados durante o período foram EUA, Canadá, Reino Unido, Alemanha, Itália, França, Espanha, Brasil, Austrália e Bélgica.
“Vulnerabilidades recentemente divulgadas impulsionaram principalmente a atividade de ransomware, pois os invasores se moveram para explorar rapidamente essas oportunidades”, disse a empresa. “Atores de ameaças regularmente visam vulnerabilidades para acessar redes de vítimas, elevar privilégios e se mover lateralmente em ambientes violados.”
Uma tendência notável é o surgimento de novos (ou reformulados) grupos de ransomware, que foram responsáveis por 21 dos 68 grupos exclusivos que postaram tentativas de extorsão, e o aumento da segmentação de organizações menores, segundo a Rapid7.
“Isso pode ocorrer por vários motivos, e um deles é que essas organizações menores contêm muitos dos mesmos dados que os cibercriminosos buscam, mas geralmente têm precauções de segurança menos maduras em vigor”, afirmou.
Outro aspecto importante é a profissionalização dos modelos de negócios RaaS. Os grupos de ransomware não são apenas mais sofisticados, eles também estão escalando cada vez mais suas operações que se assemelham a empresas corporativas legítimas.
“Eles têm seus próprios mercados, vendem seus próprios produtos e, em alguns casos, têm suporte 24/7”, destacou Rapid7. “Eles também parecem estar criando um ecossistema de colaboração e consolidação nos tipos de ransomware que implantam.”
