Uma empresa listada na Fortune 50 realizou um pagamento recorde de US$ 75 milhões em resgate ao grupo de ransomware Dark Angels, conforme um relatório do Zscaler ThreatLabz.
"No início de 2024, o ThreatLabz identificou uma vítima que pagou US$ 75 milhões ao Dark Angels, valor mais alto do que qualquer quantia conhecida publicamente— uma conquista que certamente atrairá o interesse de outros ataques buscando replicar tal sucesso adotando suas principais táticas (que descrevemos abaixo)", consta no Relatório de Ransomware 2024 da Zscaler.
Este pagamento recorde foi posteriormente confirmado pela empresa de inteligência criptográfica Chainalysis, que tweetou a respeito no X.
O maior pagamento de resgate conhecido até então foi de US$ 40 milhões, pago pelo gigante de seguros CNA após sofrer um ataque de ransomware do Evil Corp.
Embora a Zscaler não tenha divulgado qual empresa efetuou o pagamento de US$ 75 milhões, mencionou que se tratava de uma integrante da Fortune 50 e que o ataque ocorreu no início de 2024.
Uma empresa da Fortune 50 que sofreu um ciberataque em fevereiro de 2024 é o gigante farmacêutico Cencora, classificado em #10 na lista.
Nenhum grupo de ransomware assumiu a responsabilidade pelo ataque, possivelmente indicando que um resgate foi pago.
Dark Angels é uma operação de ransomware lançada em maio de 2022, quando começou a mirar empresas ao redor do mundo.
Como a maioria dos grupos de ransomware operados por humanos, os operadores do Dark Angels violam redes corporativas e movem-se lateralmente até eventualmente obter acesso administrativo.
Durante esse tempo, também roubam dados de servidores comprometidos, que são posteriormente usados como alavancagem adicional ao fazer demandas de resgate.
Quando obtêm acesso ao controlador de domínio Windows, os atores de ameaça implementam o ransomware para criptografar todos os dispositivos na rede.
Quando os atores de ameaça lançaram sua operação, eles usaram criptografadores Windows e VMware ESXi baseados no código-fonte vazado do ransomware Babuk.
No entanto, com o tempo, eles mudaram para um criptografador Linux que era o mesmo usado pelo Ragnar Locker desde 2021.
O Ragnar Locker foi desarticulado pelas autoridades em 2023.
Esse criptografador Linux foi utilizado em um ataque do Dark Angels à Johnson Controls para criptografar os servidores VMware ESXi da empresa.
Neste ataque, o Dark Angels afirmou ter roubado 27 TB de dados corporativos e exigido um pagamento de resgate de US$ 51 milhões.
Os atores de ameaça também operam um site de vazamento de dados chamado 'Dunghill Leaks', que é usado para extorquir suas vítimas, ameaçando vazar dados se um resgate não for pago.
O Zscaler ThreatLabz diz que o Dark Angels utiliza a estratégia de "Big Game Hunting", que consiste em mirar apenas algumas empresas de alto valor na esperança de obter pagamentos massivos em vez de muitas empresas de uma vez por vários, mas menores, pagamentos de resgate.
"O grupo Dark Angels emprega uma abordagem altamente direcionada, atacando geralmente uma única grande empresa por vez", explicam os pesquisadores do Zscaler ThreatLabz.
Isto é em contraste acentuado com a maioria dos grupos de ransomware, que visam as vítimas indiscriminadamente e terceirizam a maior parte do ataque para redes afiliadas de corretores de acesso inicial e equipes de teste de penetração.
Segundo a Chainalysis, a tática de Big Game Hunting tornou-se uma tendência dominante utilizada por numerosos grupos de ransomware nos últimos anos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...