Unidade de Palo Alto 42 pesquisadores lançaram luz sobre quatro grupos de ransomware emergentes que chegaram às manchetes este ano. A descoberta vem após uma extensa pesquisa e análise do subsolo, incluindo sites de vazamento de sites e sites de cebola fresca.
Esses operadores de ransomware como serviço representam uma ameaça real para as redes corporativas e organizacionais, bem como infra-estrutura crítica. Como seu modelo de negócios é construído na base "como serviço", esses grupos estão procurando afiliados.
Grupo AvosLocker Ransomware
De acordo com Palo Alto, este RaaS iniciou suas operações no final de junho. Ele pode ser reconhecido pelo logotipo do besouro azul que os atores da ameaça usam em suas comunicações com as vítimas e comunicados à imprensa para recrutar novos afiliados.
“AvosLocker foi observada promovendo seu programa RaaS e procurando afiliados em fóruns de discussão da dark web e outros fóruns. Como muitos de seus concorrentes, AvosLocker oferece suporte técnico para ajudar as vítimas a se recuperarem depois de terem sido atacadas com software de criptografia que o grupo afirma ser “à prova de falhas,”Tem baixas taxas de detecção e é capaz de lidar com arquivos grandes. Este ransomware também possui um site de extorsão, que afirma ter impactado seis organizações nos seguintes países: os EUA., o Reino Unido., os EUA, Bélgica, Espanha e Líbano. Observamos os pedidos de resgate iniciais que variam de $50,000 para $ 75.000, ”Unidade de Palo Alto 42 disse.
Hive Ransomware
Este grupo de ransomware é conhecido por seu jogo de extorsão dupla, que começou em junho. Parece que desde então Ransomware Hive atacou 28 organizações atualmente listadas em seu site de extorsão. As vítimas incluem uma companhia aérea europeia e três Estados Unidos. organizações.
A gangue de ransomware utiliza várias ferramentas no "conjunto de ferramentas de extorsão" para pressionar a vítima a pagar, incluindo contagem regressiva, data do compromisso inicial, data do vazamento em seu site, e a opção de compartilhar o vazamento nas redes sociais.
HelloKitty Ransomware
Pelo visto, HelloKitty não é um novo grupo de ransomware, pois pode ser rastreado até 2020. Tem como alvo principalmente sistemas Windows, mas uma variante do Linux foi detectada em julho, tendo como alvo o hipervisor ESXi da VMware.
Este não é o único grupo de ransomware que explora o hipervisor ESXi da VMware. Em fevereiro 2021, Operadores RansomExx utilizou CVE-2019-5544 e CVE-2020-3992 no VMware ESXi. O dispositivo é um hipervisor que permite que várias máquinas virtuais compartilhem o mesmo armazenamento no disco rígido. Também houve indicações de que a gangue de ransomware Babuk Locker também está realizando ataques com base em um cenário semelhante.
LockBit 2.0 ransomware
Este é um jogador bem conhecido no campo do ransomware como serviço, que existe há pelo menos 3 anos. Alegando ter uma das criptografias mais rápidas do mercado, LockBit 2.0 impactou vários setores, com 52 vítimas ouvem em seu site de vazamento. As vítimas incluem organizações dos EUA, México, Bélgica, Argentina, Malásia, Austrália, Brasil, Suíça, Alemanha, Itália, Áustria, Romênia e Reino Unido, de acordo com os dados da Unidade 42.
No início deste mês, o LockBit 2.0 gangue atingiu Accenture, uma empresa global de consultoria de negócios. Os cibercriminosos postaram o nome e o logotipo da empresa. Os clientes da Accenture incluem 91 nomes da Fortune Global 100, e pelo menos três quartos da Fortune Global 500. Alguns de seus clientes são Alibaba, Google e Cisco. Esta é uma das empresas líderes mundiais em consultoria de tecnologia, Com mais de 500,000 funcionários em 50 países.
“Com grandes grupos de ransomware como REvil e Darkside se escondendo ou mudando a marca para evitar o calor da polícia e a atenção da mídia, novos grupos surgirão para substituir aqueles que não estão mais visando ativamente as vítimas,”Unidade de Palo Alto 42 concluiu.
Outra tendência que vale a pena prestar atenção são os operadores de ransomware’ esforços recentes para recrutar funcionários da empresa. De acordo com um relatório da Abnormal Security, um ator de ameaça nigeriano está tentando recrutar funcionários de uma organização para implantar o ransomware Black Kingdom por uma parte dos lucros do resgate.