Cenário de Ransomware em transformação
2 de Maio de 2025

A infraestrutura online do RansomHub encontra-se inoperante desde o dia 1º de abril de 2025, sem nenhuma declaração oficial sobre o motivo.

Reconhecido como um dos grupos mais proeminentes no cenário de ransomware, o RansomHub havia anunciado recentemente uma estrutura descentralizada.

No entanto, sua inesperada desativação levantou preocupações entre seus parceiros e motivou a migração para grupos rivais.

Segundo a Group-IB, houve um incremento nas atividades na plataforma Qilin a partir de fevereiro, indicativo de que os antigos membros do RansomHub possam estar se realocando para lá.

Em outras notícias, a segurança de senhas piora em 2025, enquanto o GitHub inicia campanhas de segurança.

Lançado em fevereiro de 2024, o RansomHub rapidamente ganhou destaque devido ao seu modelo financeiro flexível e a um criptografador multiplataforma, desenvolvido a partir do código do projeto Knight.

Esse malware era compatível com sistemas operacionais como Windows, Linux, FreeBSD e ESXi e suportava arquiteturas x86, x64 e ARM.

As operações eram estrategicamente planejadas para evitar alvos em países da CEI, assim como em Cuba, Coreia do Norte e China, e envolviam o uso do malware SocGholish, que era distribuído por meio de sites WordPress comprometidos.

O grupo introduziu funcionalidades como um painel de controle personalizável e contas individuais, além de um módulo para desabilitar proteções, que mais tarde foi descontinuado.

Em novembro, começaram a proibir ataques a instituições governamentais.

Porém, questões técnicas e conflitos internos causaram divisões.

A GuidePoint Security reporta que o grupo DragonForce anunciou no fórum RAMP a criação do DragonForce Ransomware Cartel, incorporando membros do RansomHub.

Outros agentes do setor seguiram trajetórias parecidas.

A BlackLock, anteriormente visada pela DragonForce, agora atua em colaboração com o cartel.

A Secureworks CTU nota que o DragonForce fornece infraestrutura e ferramentas sem exigir o uso de um malware específico, possibilitando a seus afiliados desenvolver suas próprias identidades.

Paralelamente, novos grupos emergem.

O Anubis, que surgiu em fevereiro, opta por não usar criptografia, utilizando vazamentos de dados como meio de extorsão.

A variante ELENOR-corp, desenvolvida a partir do Mimic, foca no setor da saúde.

O CrazyHunter emprega a ferramenta ZammoCide para evitar proteções, enquanto o Elysium desabilita serviços e backups.

O FOG dissemina arquivos ZIP maliciosos camuflados como sendo de agências dos EUA.

O Hellcat explora vulnerabilidades no Atlassian Jira.

Por sua vez, o Interlock e o Hunters International concentram-se na exfiltração e vazamento de dados.

Apesar do desaparecimento de gigantes como o LockBit, o universo do ransomware permanece vibrante e em contínua evolução, destacando a importância de desenvolver estratégias defensivas mais flexíveis e adaptáveis.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...