A cepa de ransomware conhecida como BlackSuit exigiu até US$ 500 milhões em resgates até o momento, com um pedido de resgate particular person chegando a US$ 60 milhões.
É o que diz um comunicado atualizado da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e do Federal Bureau of Investigation (FBI).
“Os atores do BlackSuit demonstraram disposição para negociar valores de pagamento”, disseram as agências. “Os valores de resgate não fazem parte da nota de resgate inicial, mas exigem interação direta com o ator da ameaça por meio de uma URL .onion (acessível pelo navegador Tor) fornecida após a criptografia.”
Ataques envolvendo ransomware têm como alvo diversos setores de infraestrutura crítica, abrangendo instalações comerciais, assistência médica e saúde pública, instalações governamentais e manufatura crítica.
Uma evolução do ransomware Royal, ele aproveita o acesso inicial obtido por meio de e-mails de phishing para desarmar o software program antivírus e exfiltrar dados confidenciais antes de finalmente implantar o ransomware e criptografar os sistemas.
Outras vias comuns de infecção incluem o uso do Protocolo de Área de Trabalho Remota (RDP), a exploração de aplicativos vulneráveis voltados para a Web e o acesso adquirido por meio de corretores de acesso inicial (IABs).
Os criminosos do BlackSuit são conhecidos por usar softwares e ferramentas legítimos de monitoramento e gerenciamento remoto (RMM), como o malware SystemBC e GootLoader, para manter a persistência nas redes das vítimas.
“Atores do BlackSuit foram observados usando SharpShares e SoftPerfect NetWorx para enumerar redes de vítimas”, as agências notaram. “A ferramenta de roubo de credenciais disponível publicamente Mimikatz e ferramentas de coleta de senhas da Nirsoft também foram encontradas em sistemas de vítimas. Ferramentas como PowerTool e GMER são frequentemente usadas para matar processos do sistema.”
A CISA e o FBI alertaram sobre um aumento nos casos em que as vítimas recebem comunicações telefônicas ou por e-mail de agentes do BlackSuit sobre comprometimento e resgate, uma tática que está sendo cada vez mais adotada por gangues de ransomware para aumentar a pressão.
“Nos últimos anos, os agentes de ameaças parecem estar cada vez mais interessados em não apenas ameaçar organizações diretamente, mas também vítimas secundárias”, disse a empresa de segurança cibernética Sophos em um relatório publicado esta semana. “Por exemplo, conforme relatado em janeiro de 2024, os invasores ameaçaram 'espancar' pacientes de um hospital de câncer e enviaram mensagens de texto ameaçadoras para a esposa de um CEO.”
Isso não é tudo. Os agentes de ameaças também alegaram avaliar dados roubados em busca de evidências de atividade ilegal, não conformidade regulatória e discrepâncias financeiras, chegando até mesmo a declarar que um funcionário de uma organização comprometida estava procurando materials de abuso sexual infantil ao postar seu histórico de navegador da net.
Esses métodos agressivos não só podem ser usados como mais uma alavanca para coagir seus alvos a pagar, como também causam danos à reputação ao criticá-los como antiéticos ou negligentes.
O desenvolvimento ocorre em meio ao surgimento de novas famílias de ransomware, como Lynx, OceanSpy, Radar, Zilla (uma variante do ransomware Crysis/Dharma) e Zola (uma variante do ransomware Proton), mesmo com os grupos de ransomware existentes constantemente evoluindo seu modus operandi incorporando novas ferramentas em seu arsenal.
Um exemplo de caso é o Hunters Worldwide, que foi observado usando um novo malware baseado em C# chamado SharpRhino como um vetor de infecção inicial e um trojan de acesso remoto (RAT). Uma variante da família de malware ThunderShell, ele é entregue por meio de um domínio de typosquatting que se passa pela well-liked ferramenta de administração de rede Indignant IP Scanner.
Vale ressaltar que campanhas de malvertising foram flagradas entregando o malware recentemente, em janeiro de 2024, por eSentire. O RAT de código aberto também é chamado de Parcel RAT e SMOKEDHAM.
“Na execução, ele estabelece persistência e fornece ao invasor acesso remoto ao dispositivo, que é então utilizado para progredir o ataque”, disse o pesquisador da Quorum Cyber, Michael Forret. “Usando técnicas nunca vistas antes, o malware é capaz de obter um alto nível de permissão no dispositivo para garantir que o invasor seja capaz de promover seu direcionamento com o mínimo de interrupção.”
Hunters Worldwide é avaliado como uma reformulação do extinto grupo de ransomware Hive. Detectado pela primeira vez em outubro de 2023, ele assumiu a responsabilidade por 134 ataques nos primeiros sete meses de 2024.
