Pesquisadores de cibersegurança revelaram que a infraestrutura online da RansomHub ficou "inexplicavelmente" offline a partir de 1º de abril de 2025, provocando preocupações entre os afiliados da operação ransomware-as-a-service (RaaS).
A empresa de cibersegurança singapurense Group-IB disse que isso pode ter causado a migração de afiliados para o Qilin, dado que "as divulgações em seu site de vazamento de dados (DLS) dobraram desde fevereiro." RansomHub, que surgiu pela primeira vez em fevereiro de 2024, é estimado ter roubado dados de mais de 200 vítimas.
Ele substituiu dois grupos RaaS de alto perfil, LockBit e BlackCat, tornando-se um dos principais, cortejando seus afiliados, incluindo o Scattered Spider e Evil Corp, com divisões de pagamento lucrativas.
"Seguindo uma possível aquisição do aplicativo web e do código-fonte do ransomware de Knight (anteriormente Cyclops), RansomHub rapidamente subiu na cena do ransomware, graças às características dinâmicas do seu criptografador multi-plataforma e um modelo agressivo e amigável para afiliados, oferecendo incentivos financeiros substanciais," disse o Group-IB em um relatório.
O ransomware do RansomHub é projetado para funcionar em Windows, Linux, FreeBSD e ESXi, bem como em arquiteturas x86, x64 e ARM, enquanto evita atacar empresas localizadas nos Estados da Comunidade de Estados Independentes (CIS), Cuba, Coreia do Norte e China.
Ele também pode criptografar sistemas de arquivos locais e remotos via SMB e SFTP.
O painel de afiliados, usado para configurar o ransomware via interface web, conta com uma seção dedicada "Members", onde os membros do grupo de afiliados têm a opção de criar suas próprias contas no dispositivo.
Afiliados também receberam um módulo "Killer" desde pelo menos junho de 2024 para encerrar e contornar softwares de segurança usando drivers vulneráveis conhecidos (BYOVD).
No entanto, a ferramenta foi descontinuada devido a altas taxas de detecção.
As empresas eSentire e Trend Micro também observaram cyber-ataques explorando um malware JavaScript conhecido como SocGholish (também conhecido como FakeUpdates) via sites WordPress comprometidos para implantar um backdoor baseado em Python conectado a afiliados do RansomHub.
"Em 25 de novembro, os operadores do grupo lançaram uma nova nota em seu painel de afiliados anunciando que qualquer ataque contra qualquer instituição governamental é estritamente proibido", disse a empresa.
Todos os afiliados foram, portanto, convidados a se abster de tais atos devido ao alto risco e 'retorno do investimento' não lucrativo.
A GuidePoint Security, que também observou a inatividade da infraestrutura do RansomHub, disse que a cadeia de eventos levou a uma "inquietação dos afiliados", com o grupo rival RaaS, DragonForce, declarando no fórum RAMP que o RansomHub "decidiu mudar para nossa infraestrutura" sob um novo "Cartel Ransomware DragonForce".
Vale ressaltar que outro ator RaaS chamado BlackLock também é avaliado por ter começado a colaborar com o DragonForce após este ter desfigurado seu site de vazamento de dados no final de março de 2025.
"Essas discussões nos fóruns RAMP destacam o ambiente incerto em que os afiliados do RansomHub parecem estar no momento, aparentemente sem saber do status do grupo e de seu próprio status em meio a uma possível 'Tomada'", disse a GuidePoint Security.
Resta ver se essa instabilidade marcará o início do fim para o RansomHub, embora não possamos deixar de notar que o grupo, que ganhou destaque prometendo estabilidade e segurança para afiliados, agora pode ter falhado ou traído os afiliados em ambos os aspectos.
O Secureworks Counter Threat Unit (CTU), que também rastreou o rebranding do DragonForce como um "cartel", disse que o esforço faz parte de um novo modelo de negócios projetado para atrair afiliados e aumentar os lucros, permitindo que os afiliados criem seus próprios "brands".
Isso é diferente de um esquema RaaS tradicional, onde os desenvolvedores centrais montam a infraestrutura da dark web e recrutam afiliados do submundo do cybercrime, que então conduzem os ataques após adquirirem acesso às redes de destino de um broker de acesso inicial (IAB) em troca de 70% do pagamento do resgate.
"Neste modelo, o DragonForce fornece sua infraestrutura e ferramentas, mas não exige que os afiliados implantem seu ransomware", disse a empresa de propriedade da Sophos.
Os recursos anunciados incluem painéis de administração e cliente, ferramentas de criptografia e negociação de resgate, um sistema de armazenamento de arquivos, um site de vazamento baseado em TOR e domínio .onion, e serviços de suporte.
Outro grupo de ransomware que adotou táticas novas é o Anubis, que surgiu em fevereiro de 2025 e usa uma opção de extorsão apenas de "ransom de dados" para pressionar as vítimas, ameaçando publicar um "artigo investigativo" contendo uma análise dos dados roubados e informar as autoridades regulatórias ou de conformidade sobre o incidente.
"À medida que o ecossistema de ransomware continua a se flexibilizar e adaptar, estamos vendo uma experimentação mais ampla com diferentes modelos operacionais", disse Rafe Pilling, Diretor de Inteligência de Ameaças no Secureworks CTU.
LockBit havia dominado o esquema de afiliados, mas na sequência da ação de imposição contra eles, não é surpreendente ver novos esquemas e métodos sendo testados. O desenvolvimento coincide com o surgimento de uma nova família de ransomware chamada ELENOR-corp, uma variante do ransomware Mimic, que está ativamente visando organizações de saúde após colher credenciais usando um executável Python capaz de roubar conteúdo da área de transferência.
"A variante ELENOR-corp do ransomware Mimic mostra aprimoramentos em comparação com versões anteriores, empregando medidas anti-forenses sofisticadas, adulteração de processos e estratégias de criptografia", disse o pesquisador da Morphisec, Michael Gorelik.
Esta análise destaca a sofisticação crescente dos ataques de ransomware, enfatizando a necessidade de defesas proativas, resposta rápida a incidentes e estratégias robustas de recuperação em indústrias de alto risco como a da saúde.
Algumas das outras notáveis campanhas de ransomware observadas nos últimos meses são as seguintes :
- CrazyHunter, que visou os setores de saúde, educação e industrial de Taiwan usando técnicas BYOVD para contornar medidas de segurança através de uma ferramenta open-source chamada ZammoCide;
- Elysium, uma nova variante da família ransomware Ghost (também conhecida como Cring) que encerra uma lista codificada de serviços, desabilita backups do sistema, deleta cópias shadow e modifica a política de status de inicialização para dificultar a recuperação do sistema;
- FOG, que abusou do nome do Departamento de Eficiência Governamental dos EUA (DOGE), e indivíduos conectados à iniciativa governamental em ataques de email e phishing para distribuir arquivos ZIP com malware que entregam o ransomware;
- Hellcat, que explorou vulnerabilidades zero-day, como as no Atlassian Jira, para obter acesso inicial
Hunters International, que se reestruturou e lançou uma operação de extorsão apenas conhecida como World Leaks usando um programa personalizado de exfiltração de dados;
- Interlock, que aproveitou a infame estratégia ClickFix para iniciar uma cadeia de ataque multi-estágio que implanta o payload do ransomware, junto com um backdoor chamado Interlock RAT e stealers como Lumma e BerserkStealer;
- Qilin, que empregou um email de phishing se passando por alertas de autenticação do ScreenConnect para violar um Provedor de Serviço Gerenciado (MSP) usando um kit de phishing AitM e lançar ataques de ransomware em seus clientes (atribuído a um afiliado chamado STAC4365)
Essas campanhas servem para destacar a natureza sempre em evolução do ransomware e demonstrar a capacidade dos atores da ameaça de inovar diante de interrupções da aplicação da lei e vazamentos.
De fato, uma nova análise de 200.000 mensagens internas do chat Black Basta pelo Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) revelou como o grupo de ransomware conduz suas operações, concentrando-se em técnicas avançadas de engenharia social e explorando vulnerabilidades de VPN.
"Um membro conhecido como 'Nur' é encarregado de identificar alvos principais dentro das organizações que pretendem atacar", disse o FIRST.
Uma vez que localizam uma pessoa de influência (como um gerente ou pessoal de RH), eles iniciam o contato via ligação telefônica.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...