Relatório de ransomware: LockBit continua sendo o mais perigoso

14. Novembro 2022
| Ein Comentário

Compartilhar postagem

A LockBit continua sendo a líder entre os grupos que vendem ransomware como serviço (RaaS) em outubro. Isso é o que o relatório do ransomware Malwarebytes de outubro mostra. Mesmo os grupos perigosos Black Basta ou ALPHV não atacam as empresas em massa.

A equipe de inteligência de ameaças da Malwarebytes atribuiu 59 ataques ao grupo de ransomware LockBit no último mês (em comparação com 109 ataques em setembro de 2022 e 62 ataques em agosto de 2022). Karakurt e ALPHV ficam em segundo lugar em outubro, com 28 ataques cada. Black Basta ocupa o terceiro lugar com 25 ataques.

LockBit substitui Conti de cima

🔎 Ataques de ransomware por grupo em outubro de 2022 (Imagem: Malwarebytes).

Desde o desaparecimento do Conti, o LockBit continua sendo a forma mais usada de RaaS com base nos ataques conhecidos pelo Malwarebytes. Uma comparação com os concorrentes mais próximos do LockBit também é instrutiva aqui, já que desde março nem o ALPHV nem o Black Basta atingiram remotamente o mesmo nível de atividade do LockBit. O último grupo de ransomware foi responsável por quase metade de toda a atividade RaaS em setembro de 2022, respondendo por 48% dos ataques detectados pelo Malwarebytes.

Mais ataques de ransomware nos EUA do que na Europa

Quando se trata da distribuição de ataques de ransomware por país, os EUA são novamente de longe o alvo mais comum em outubro de 2022, com 84 ataques. Os seguintes países europeus também foram afetados: Reino Unido com 13 ataques, Espanha com 8 ataques e França e Alemanha com 7 ataques cada.

LockBit e Continental colocam dados à venda por US$ 50 milhões

Na Alemanha faz LockBit é atualmente um tema quente em conexão com um ataque de hacker na Continental em agosto. Um bate-papo entre a Continental e o grupo de ransomware foi publicado recentemente em seu site da dark web, descrevendo uma negociação entre as duas partes. O registro do bate-papo mostra que a Continental estava procurando evidências de que o LockBit realmente tinha os 40 TB de dados internos supostamente roubados e os excluiria assim que o resgate fosse pago.

🔎 Ataques RaaS de grupos como LockBit & Co, março a outubro de 2022 (Imagem: Malwarebytes).

A última mensagem, atribuída à Continental e datada de 24 de outubro, diz: "Olá, temos uma reunião de gestão para realizar e retornaremos amanhã no final do dia útil".

Aparentemente, a reunião não foi como a LockBit esperava. Após várias tentativas malsucedidas de reiniciar as negociações, o grupo de ransomware disponibilizou os dados da Continental para venda ou destruição em seu site da dark web por US$ 50 milhões.

Lavagem de dinheiro: como a LockBit transfere dinheiro

Uma entrevista publicada pela vx-underground em outubro forneceu informações interessantes sobre a organização da LockBit. Isso foi supostamente conduzido com o fundador da LockBit, referido no site como "administrador da LockBit" (LBO). A entrevista esclarece o tamanho do LockBit e também como os resgates pagos em criptomoeda são convertidos em dinheiro.

🔎 Ataques de ransomware conhecidos por país, outubro de 2022 (Imagem: Malwarebytes).

Primeiro, em relação ao tamanho da organização LockBit, de acordo com a LBO, a LockBit atualmente tem mais de 10 membros, consistindo de pentesters, desenvolvedores, lavadores de dinheiro, testadores e negociadores. Isso tornaria a equipe LockBit quase uma ordem de grandeza menor que a da Conti, que consistia em cerca de 100 membros antes de ser dissolvida.

Em última análise, a escalabilidade do RaaS vem do uso de afiliados – ou seja, organizações parceiras que realizam ataques com o ransomware LockBit e pagam por isso com parte do resgate. De acordo com a LBO, a LockBit atualmente não tem mais de 100 afiliados, o desejo seria de 300.

Muito dinheiro espalhado por algumas cabeças

De acordo com os números da Malwarebytes, essas 100 pessoas são responsáveis ​​por cerca de um terço de todos os ataques RaaS. Isso sugere que o número de criminosos profissionais envolvidos em ataques de ransomware provavelmente será pequeno. No entanto, considerando as enormes somas de dinheiro que foram extorquidas de grupos de ransomware nos últimos cinco anos e, portanto, fluíram para relativamente poucas mãos, pode-se supor que esta deve ser uma transação financeira considerável.

Segundo a LBO, o resgate será enviado para doleiros chineses e, de lá, para outro doleiro. O dinheiro é então transferido para cartões bancários usando uma variedade de métodos. Os mensageiros de dinheiro são então enviados para caixas eletrônicos e, por fim, trazem o dinheiro para o LockBit. As transferências variam de $ 1.000 a $ 7.000.

De acordo com a Força-Tarefa de Ransomware, as vítimas de ransomware pagaram um total de US$ 2020 milhões em resgates em 350. O uso de técnicas de lavagem de dinheiro conforme descrito acima exigiria, portanto, pelo menos 50.000 transações em caixas eletrônicos. Isso pode ser uma pista de por que as transferências de criptomoedas e a lavagem de dinheiro parecem ser os principais alvos das autoridades policiais nos últimos dois anos.

Clones LockBit surgiram em outubro

Em setembro, o construtor de software para LockBit 3.0 foi lançado. A equipe de inteligência de ameaças da Malwarebytes descobriu que nunca foi tão fácil criar seu próprio ransomware. Além disso, a Malwarebytes previu que novas gangues criminosas não afiliadas anteriormente ao LockBit poderiam usar o software no futuro - inclusive para criar seu próprio ransomware fora do programa de afiliados do LockBit.

Isso realmente aconteceu em outubro. Há suspeitas de que o grupo de ransomware Bl00dy usou o construtor LockBit 3.0 (nota: como o Bl00dy não publicou nenhum vazamento na dark web em outubro, o grupo não aparece no gráfico de outubro de ataques de ransomware conhecidos por grupos). Um clone do LockBit teria sido usado em um ataque ao Banco de Brasília (BRB). E um endereço bitcoin descoberto em notas de resgate de um grupo desconhecido usando o software LockBit modificado recebeu cerca de US$ 20.000 em pagamentos.

O relatório de ransomware de outubro de 2022 da Malwarebytes inclui ainda mais dados analisados. Está disponível para leitura online gratuitamente. Um clique no botão leva diretamente ao relatório.

Mais em Malwarebytes.com

 

Sobre o Malwarebytes

O Malwarebytes protege usuários domésticos e empresas contra ameaças perigosas, ransomware e explorações que os programas antivírus não detectam. O Malwarebytes substitui completamente outras soluções antivírus para evitar ameaças modernas de segurança cibernética para usuários particulares e empresas. Mais de 60.000 empresas e milhões de usuários confiam nas soluções inovadoras de aprendizado de máquina da Malwarebyte e em seus pesquisadores de segurança para evitar ameaças emergentes e eliminar malwares que as soluções de segurança antiquadas deixam escapar. Visite www.malwarebytes.com para obter mais informações.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

Stories
, , , , , ,