O infame grupo de crimes cibernéticos conhecido como Aranha dispersa incorporou cepas de ransomware como RansomHub e Qilin em seu arsenal, revelou a Microsoft.
Scattered Spider é a designação dada a um ator de ameaça que é conhecido por seus esquemas sofisticados de engenharia social para violar alvos e estabelecer persistência para exploração subsequente e roubo de dados. Ele também tem um histórico de alvejar servidores VMWare ESXi e implantar ransomware BlackCat.
Ele compartilha sobreposições com clusters de atividades rastreados pela comunidade de segurança cibernética mais ampla sob os apelidos 0ktapus, Octo Tempest e UNC3944. No mês passado, foi relatado que um membro-chave do grupo foi preso na Espanha.
O RansomHub, que chegou ao mercado no início de fevereiro, foi avaliado como uma reformulação de outra cepa de ransomware chamada Knight, de acordo com uma análise da Symantec, de propriedade da Broadcom, no mês passado.
“O RansomHub é uma carga útil de ransomware como serviço (RaaS) usada por mais e mais agentes de ameaças, incluindo aqueles que historicamente usaram outras cargas úteis de ransomware (às vezes extintas) (como o BlackCat), tornando-se uma das famílias de ransomware mais difundidas atualmente”, disse a Microsoft.
O fabricante do Home windows disse que também observou o RansomHub implantado como parte da atividade pós-comprometimento pelo Manatee Tempest (também conhecido como DEV-0243, Evil Corp ou Indrik Spider) após o acesso inicial obtido pelo Mustard Tempest (também conhecido como DEV-0206 ou Purple Vallhund) por meio de infecções do FakeUpdates (também conhecido como Socgholish).
Vale a pena mencionar aqui que o Mustard Tempest é um corretor de acesso inicial que, no passado, utilizou FakeUpdates em ataques que levaram a ações semelhantes ao comportamento pré-ransomware associado à Evil Corp. Essas intrusões também foram notáveis pelo fato de que o FakeUpdates foi entregue por meio de infecções existentes do Raspberry Robin.
O desenvolvimento ocorre em meio ao surgimento de novas famílias de ransomware como FakePenny (atribuído ao Moonstone Sleet), Fog (distribuído pelo Storm-0844, que também propagou o Akira) e ShadowRoot, o último dos quais foi observado tendo como alvo empresas turcas usando faturas falsas em PDF.
“À medida que a ameaça de ransomware continua a aumentar, expandir e evoluir, usuários e organizações são aconselhados a seguir as melhores práticas de segurança, especialmente higiene de credenciais, princípio do menor privilégio e Zero Belief”, disse a Microsoft.
