No ano passado, o gerador de ransomware LockBit 3.0 vazou, levando os invasores a usar indevidamente a ferramenta para gerar novas variantes.
A empresa russa de segurança cibernética Kaspersky disse que detectou uma intrusão de ransomware que implantou uma versão do LockBit, mas com um programa de ransomware significativamente diferente.
Os pesquisadores de segurança Eduardo Ovalle e Francesco Figurelli disseram que os invasores por trás deste incidente usaram um programa de ransomware diferente com o mesmo título de uma organização anteriormente chamada NATIONAL HAZARD AGENCY.
A nota de resgate renovada especifica diretamente o valor do pagamento necessário para obter a chave de descriptografia e direciona as comunicações para o serviço Tox e e-mail, ao contrário do grupo LockBit, que não menciona o valor e utiliza sua própria plataforma de comunicação e negociação.
A NATIONAL HAZARD AGENCY não é a única gangue cibercriminosa que usa o gerador LockBit 3.0 vazado. Outros atores de ameaças conhecidos por explorá-lo incluem Bl00dy e Buhti.
A Kaspersky observou que detectou um total de 396 amostras diferentes de LockBit em sua telemetria, 312 das quais foram criadas usando o construtor vazado. Até 77 amostras não mencionaram “LockBit” na nota de resgate.
Muitos dos parâmetros detectados são consistentes com a configuração padrão do gerador, com apenas algumas pequenas alterações, disseram os pesquisadores.
A divulgação ocorre no momento em que Netrich investiga uma variedade de ransomware chamada ADHUBLLKA, que mudou de nome várias vezes desde 2019 (BIT, LOLKEK, OBZ, U2K e TZW), cujos principais alvos são indivíduos e pequenas empresas, obtendo resgates de baixo custo (entre $ 800 e $ 1600).
Embora essas iterações tenham alterado ligeiramente os esquemas de criptografia, notas de resgate e métodos de comunicação, uma análise mais detalhada revela que estão todos relacionados ao ADHUBLLKA devido às semelhanças no código-fonte e na infraestrutura.
O pesquisador de segurança Rakesh Krishnan (Rakesh Krishnan) disse: Quando um ransomware é bem-sucedido, os cibercriminosos geralmente usam a mesma amostra de ransomware (com pequenos ajustes em sua base de código) para testar outros projetos.
Por exemplo, podem alterar o esquema de encriptação, a nota de resgate ou o canal de comunicação de comando e controlo (C2) e, em seguida, empacotar-se como o 'novo' ransomware.
O ransomware continua a ser um ecossistema em evolução ativa, com mudanças frequentes de táticas e objetivos.
O desenvolvimento também ocorre em meio a um aumento recorde de ataques de ransomware, com o grupo de ransomware Cl0p comprometendo 1.000 organizações conhecidas ao explorar vulnerabilidades no aplicativo MOVEit Transfer para obter acesso inicial e criptografar redes direcionadas.
Entre as vítimas corporativas, as entidades dos EUA representaram 83,9 por cento, seguidas pela Alemanha (3,6 por cento), Canadá (2,6 por cento) e Reino Unido (2,1 por cento). Mais de 60 milhões de pessoas teriam sido afetadas.
No entanto, o raio de dano de um ataque de ransomware à cadeia de suprimentos pode ser muito maior. Segundo estimativas, espera-se que os invasores obtenham entre US$ 75 milhões e US$ 100 milhões em lucros ilícitos com suas atividades.
“Embora a campanha MOVEit possa acabar impactando diretamente mais de 1.000 empresas, e uma ordem de grandeza mais indireta, apenas um punhado de vítimas tentou negociar, e muito menos considerar pagar”, disse Coveware.
Aqueles que pagaram resgates pagaram muito mais do que as campanhas CloP anteriores e múltiplos do valor médio global de resgate de US$ 740.144 (um aumento de 126% em relação ao primeiro trimestre de 2023).
Além do mais, de acordo com o Relatório Sophos 2023 Active Adversaries, o tempo médio de permanência para incidentes de ransomware caiu de 9 dias em 2022 para 5 dias no primeiro semestre de 2023, indicando que “gangues de ransomware estão se movendo mais rápido do que nunca”. ".
Por outro lado, o tempo médio de permanência para incidentes não relacionados a ransomware aumentou de 11 para 13 dias. A maior permanência observada neste período foi de 112 dias.
Em 81 por cento dos ataques de ransomware, a carga final foi lançada fora do horário comercial tradicional, enquanto apenas cinco dos ataques de ransomware implantados durante o horário comercial ocorreram durante a semana, disse a empresa de segurança cibernética. Quase metade (43%) dos ataques de ransomware foram detectados na sexta ou sábado.