O provedor de segurança de TI Palo Alto Networks e sua equipe de análise de malware Unit42 relatam novas descobertas sobre o "Ransom Cartel" - um provedor de ransomware como serviço (RaaS) que surgiu pela primeira vez em meados de dezembro de 2021. Tecnicamente, há sobreposição com o ransomware REvil.
Esse grupo de criminosos realiza ataques duplos de ransomware e compartilha várias semelhanças e sobreposições técnicas com o ransomware REvil. O ransomware REvil desapareceu poucos meses antes do surgimento do cartel de ransomware e apenas um mês depois que 14 de seus supostos membros foram presos na Rússia. Quando o Ransom Cartel surgiu pela primeira vez, não estava claro se era uma nova marca do REvil ou um ator de ameaça independente reutilizando ou imitando o código do ransomware REvil.
Ransom-Cartel ransomware sob análise
Palo Alto Networks e Unit42 apresentam o ransomware Ransom-Cartel e uma avaliação das possíveis ligações entre REvil e o ransomware Ransom-Cartel em sua análise mais recente. Em outubro de 2021 ficou quieto em torno dos operadores do REvil. O site de vazamento da dark web do REvil ficou indisponível. Por volta de meados de abril de 2022, pesquisadores de segurança individuais e a mídia de segurança cibernética relataram um novo desenvolvimento no REvil que poderia significar o retorno da gangue.
Paralelamente, o ransomware Palo Alto Networks observou Cartel pela primeira vez em meados de janeiro de 2022. Pesquisadores de segurança do MalwareHunterTeam acreditam que o grupo está ativo desde pelo menos dezembro de 2021. Eles observaram a primeira atividade conhecida do Ransom Cartel e encontraram várias semelhanças e sobreposições técnicas com o ransomware REvil. A Unidade 42 também observou grupos de cartéis de resgate visando organizações, com as primeiras vítimas conhecidas que observamos em janeiro de 2022 nos EUA e na França. O Ransom Cartel visava organizações nas seguintes verticais: educação, manufatura e serviços públicos e energia.
Ransomware como serviço como um negócio
Os criminosos por trás do Ransom Cartel são atores que se oferecem para vender acesso comprometido à rede. Sua motivação não é lançar ataques cibernéticos, mas vender acesso a outros agentes de ameaças. Dada a lucratividade do ransomware, é provável que esses corretores tenham relações de trabalho com grupos RaaS com base no valor que estão dispostos a pagar. A Unidade 42 viu evidências de que o Ransom Cartel dependia desses tipos de serviços para obter acesso inicial para entregar ransomware.
Conclusão dos especialistas em segurança
Ransom Cartel é uma das muitas famílias de ransomware que surgiram em 2021. Enquanto o Ransom Cartel usa chantagem dupla e alguns dos mesmos TTPs frequentemente vistos em ataques de ransomware, esse tipo de ransomware usa ferramentas menos comuns - DonPAPI, por exemplo - não vistas anteriormente em outros ataques de ransomware.
Os operadores do Ransom Cartel claramente tiveram acesso ao código-fonte original do ransomware REvil. No entanto, eles não parecem ter o mecanismo de ofuscação que criptografa ou oculta strings e chamadas de API. Portanto, os especialistas em segurança especulam que os operadores do cartel de resgate tiveram algum relacionamento com o grupo REvil antes de iniciar sua própria operação.
Outras avaliações do grupo e informações técnicas podem ser encontradas online em Unit42.
Mais em PaloAltoNetworks.com
Sobre a Palo Alto Networks A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.
Um pensamento em "Ransom Cartel ransomware-as-a-service vem de REvil?"
Comentários fechados