A infraestrutura online do RansomHub encontra-se inoperante desde o dia 1º de abril de 2025, sem nenhuma declaração oficial sobre o motivo.
Reconhecido como um dos grupos mais proeminentes no cenário de ransomware, o RansomHub havia anunciado recentemente uma estrutura descentralizada.
No entanto, sua inesperada desativação levantou preocupações entre seus parceiros e motivou a migração para grupos rivais.
Segundo a Group-IB, houve um incremento nas atividades na plataforma Qilin a partir de fevereiro, indicativo de que os antigos membros do RansomHub possam estar se realocando para lá.
Em outras notícias, a segurança de senhas piora em 2025, enquanto o GitHub inicia campanhas de segurança.
Lançado em fevereiro de 2024, o RansomHub rapidamente ganhou destaque devido ao seu modelo financeiro flexível e a um criptografador multiplataforma, desenvolvido a partir do código do projeto Knight.
Esse malware era compatível com sistemas operacionais como Windows, Linux, FreeBSD e ESXi e suportava arquiteturas x86, x64 e ARM.
As operações eram estrategicamente planejadas para evitar alvos em países da CEI, assim como em Cuba, Coreia do Norte e China, e envolviam o uso do malware SocGholish, que era distribuído por meio de sites WordPress comprometidos.
O grupo introduziu funcionalidades como um painel de controle personalizável e contas individuais, além de um módulo para desabilitar proteções, que mais tarde foi descontinuado.
Em novembro, começaram a proibir ataques a instituições governamentais.
Porém, questões técnicas e conflitos internos causaram divisões.
A GuidePoint Security reporta que o grupo DragonForce anunciou no fórum RAMP a criação do DragonForce Ransomware Cartel, incorporando membros do RansomHub.
Outros agentes do setor seguiram trajetórias parecidas.
A BlackLock, anteriormente visada pela DragonForce, agora atua em colaboração com o cartel.
A Secureworks CTU nota que o DragonForce fornece infraestrutura e ferramentas sem exigir o uso de um malware específico, possibilitando a seus afiliados desenvolver suas próprias identidades.
Paralelamente, novos grupos emergem.
O Anubis, que surgiu em fevereiro, opta por não usar criptografia, utilizando vazamentos de dados como meio de extorsão.
A variante ELENOR-corp, desenvolvida a partir do Mimic, foca no setor da saúde.
O CrazyHunter emprega a ferramenta ZammoCide para evitar proteções, enquanto o Elysium desabilita serviços e backups.
O FOG dissemina arquivos ZIP maliciosos camuflados como sendo de agências dos EUA.
O Hellcat explora vulnerabilidades no Atlassian Jira.
Por sua vez, o Interlock e o Hunters International concentram-se na exfiltração e vazamento de dados.
Apesar do desaparecimento de gigantes como o LockBit, o universo do ransomware permanece vibrante e em contínua evolução, destacando a importância de desenvolver estratégias defensivas mais flexíveis e adaptáveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...