Ransom Cartel ransomware-as-a-service vem de REvil?

18. Novembro 2022
| Ein Comentário
Notícias curtas sobre segurança cibernética B2B

Compartilhar postagem

O provedor de segurança de TI Palo Alto Networks e sua equipe de análise de malware Unit42 relatam novas descobertas sobre o "Ransom Cartel" - um provedor de ransomware como serviço (RaaS) que surgiu pela primeira vez em meados de dezembro de 2021. Tecnicamente, há sobreposição com o ransomware REvil.

Esse grupo de criminosos realiza ataques duplos de ransomware e compartilha várias semelhanças e sobreposições técnicas com o ransomware REvil. O ransomware REvil desapareceu poucos meses antes do surgimento do cartel de ransomware e apenas um mês depois que 14 de seus supostos membros foram presos na Rússia. Quando o Ransom Cartel surgiu pela primeira vez, não estava claro se era uma nova marca do REvil ou um ator de ameaça independente reutilizando ou imitando o código do ransomware REvil.

Ransom-Cartel ransomware sob análise

Palo Alto Networks e Unit42 apresentam o ransomware Ransom-Cartel e uma avaliação das possíveis ligações entre REvil e o ransomware Ransom-Cartel em sua análise mais recente. Em outubro de 2021 ficou quieto em torno dos operadores do REvil. O site de vazamento da dark web do REvil ficou indisponível. Por volta de meados de abril de 2022, pesquisadores de segurança individuais e a mídia de segurança cibernética relataram um novo desenvolvimento no REvil que poderia significar o retorno da gangue.

Paralelamente, o ransomware Palo Alto Networks observou Cartel pela primeira vez em meados de janeiro de 2022. Pesquisadores de segurança do MalwareHunterTeam acreditam que o grupo está ativo desde pelo menos dezembro de 2021. Eles observaram a primeira atividade conhecida do Ransom Cartel e encontraram várias semelhanças e sobreposições técnicas com o ransomware REvil. A Unidade 42 também observou grupos de cartéis de resgate visando organizações, com as primeiras vítimas conhecidas que observamos em janeiro de 2022 nos EUA e na França. O Ransom Cartel visava organizações nas seguintes verticais: educação, manufatura e serviços públicos e energia.

Ransomware como serviço como um negócio

Os criminosos por trás do Ransom Cartel são atores que se oferecem para vender acesso comprometido à rede. Sua motivação não é lançar ataques cibernéticos, mas vender acesso a outros agentes de ameaças. Dada a lucratividade do ransomware, é provável que esses corretores tenham relações de trabalho com grupos RaaS com base no valor que estão dispostos a pagar. A Unidade 42 viu evidências de que o Ransom Cartel dependia desses tipos de serviços para obter acesso inicial para entregar ransomware.

Conclusão dos especialistas em segurança

Ransom Cartel é uma das muitas famílias de ransomware que surgiram em 2021. Enquanto o Ransom Cartel usa chantagem dupla e alguns dos mesmos TTPs frequentemente vistos em ataques de ransomware, esse tipo de ransomware usa ferramentas menos comuns - DonPAPI, por exemplo - não vistas anteriormente em outros ataques de ransomware.

Os operadores do Ransom Cartel claramente tiveram acesso ao código-fonte original do ransomware REvil. No entanto, eles não parecem ter o mecanismo de ofuscação que criptografa ou oculta strings e chamadas de API. Portanto, os especialistas em segurança especulam que os operadores do cartel de resgate tiveram algum relacionamento com o grupo REvil antes de iniciar sua própria operação.

Outras avaliações do grupo e informações técnicas podem ser encontradas online em Unit42.

Mais em PaloAltoNetworks.com

 

Sobre a Palo Alto Networks

A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

BSI define padrões mínimos para navegadores da web

O BSI revisou o padrão mínimo para navegadores web para administração e publicou a versão 3.0. Você pode se lembrar disso ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Teste: software de segurança para endpoints e PCs individuais

Os últimos resultados dos testes do laboratório AV-TEST mostram um desempenho muito bom de 16 soluções de proteção estabelecidas para Windows ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

notícias curtas
, , , , , ,