FBI interrompe operação do Ransomware
13 de Agosto de 2024

A FBI anunciou na segunda-feira(12) que apreendeu servidores e websites da operação de ransomware Radar/Dispossessor seguindo uma investigação internacional conjunta.

A operação conjunta foi realizada em colaboração com a Agência Nacional de Crime do Reino Unido, o Ministério Público de Bamberg e o Escritório de Polícia Criminal do Estado da Baviera (BLKA).

As forças de segurança apreenderam três servidores nos EUA, três servidores no Reino Unido, 18 servidores na Alemanha, oito domínios baseados nos EUA e um domínio baseado na Alemanha, incluindo radar[.]tld, dispossessor[.]com, cybernewsint[.]com (site falso de notícias), cybertube[.]video (site falso de vídeo) e dispossessor-cloud[.]com.

Desde agosto de 2023, Dispossessor—liderado por um ator de ameaça conhecido como Brain—tem como alvo pequenas e médias empresas em diversos setores mundialmente, reivindicando ataques contra dezenas de empresas (a FBI identificou 43 vítimas) dos EUA, Argentina, Austrália, Bélgica, Brasil, Honduras, Índia, Canadá, Croácia, Peru, Polônia, Reino Unido, Emirados Árabes Unidos e Alemanha.

A FBI diz que o gangue de ransomware viola redes através de vulnerabilidades, senhas fracas e a falta de configuração de autenticação de múltiplos fatores nas contas.

Após ganhar acesso à rede da vítima, eles roubam dados e implantam o ransomware para criptografar os dispositivos da empresa.

Uma vez que os criminosos ganharam acesso aos sistemas, eles obtiveram direitos de administrador e facilmente ganharam acesso aos arquivos.

O ransomware real foi então usado para criptografia.

Como resultado, as empresas não podiam mais acessar seus próprios dados," disse a FBI em um comunicado de imprensa.

Uma vez que a empresa foi atacada, se ela não entrasse em contato com o ator criminoso, o grupo então contatava proativamente outros na empresa vítima por email ou telefonema.

Os emails também incluíam links para plataformas de vídeo nos quais os arquivos previamente roubados haviam sido apresentados.

A FBI também pediu para vítimas passadas ou aquelas visadas compartilharem informações sobre a gangue Dispossessor entrando em contato com o Internet Crime Complaint Center em ic3.gov ou 1-800-CALL FBI.

Quando o grupo de cybercrime inicialmente lançou, atuou como um grupo de extorsão, republicando dados antigos roubados durante ataques de ransomware da LockBit, dos quais afirmavam ser afiliados.

Dispossessor também tem republicado vazamentos de outras operações de ransomware e tentado vendê-los em vários mercados de vazamentos e fóruns de hacking como BreachForums e XSS.

"Dispossessor anunciou inicialmente a disponibilidade renovada dos dados de cerca de 330 vítimas da LockBit. Isso foi alegado ser dados republicados de vítimas da LockBit previamente disponíveis, agora hospedados na rede do Dispossessor e, assim, não sujeitos às restrições de disponibilidade da LockBit," SentinelOne disse em um relatório de abril.

Dispossessor parece estar republicando dados previamente associados com outras operações com exemplos variando de Cl0p, Hunters International e 8base.

Estamos cientes de pelo menos uma dúzia de vítimas listadas no Dispossessor que também foram previamente listadas por outros grupos.

Começando em junho de 2024, os atores de ameaça começaram a utilizar o LockBit 3.0 encryptor vazado [VirusTotal] para uso em seus próprios ataques de criptografia, escalando significativamente o escopo de seus ataques.

Ao longo do último ano, operações de força da lei têm visado muitas outras atividades de cybercrime, incluindo golpes com criptomoeda, desenvolvimento de malware, ataques de phishing, roubo de credenciais e operações de ransomware.

Por exemplo, eles têm usado táticas de contra-ataque para infiltrar, interromper e desmantelar ransomware ALPHV/Blackcat, um grupo de ransomware implantando LockerGoga, MegaCortex, HIVE e Dharma, a operação de ransomware Ragnar Locker e o ransomware Hive.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...