Uma análise de uma nova cepa de ransomware denominada RansomHub revelou que ela é uma versão atualizada e renomeada do ransomware Knight, que por sua vez é uma evolução de outro ransomware conhecido como Cyclops.
Knight (também conhecido como Cyclops 2.0) ransomware chegou pela primeira vez em maio de 2023, empregando táticas de dupla extorsão para roubar e criptografar os dados das vítimas visando lucro financeiro.
Sua operação se estende por múltiplas plataformas, incluindo Windows, Linux, macOS, ESXi e Android.
Anunciado e vendido no fórum de cibercrimes RAMP, ataques envolvendo o ransomware foram encontrados para explorar campanhas de phishing e spear-phishing como um vetor de distribuição na forma de anexos maliciosos.
A operação de ransomware como um serviço (RaaS) foi encerrada em fevereiro de 2024, quando seu código-fonte foi colocado à venda, aumentando a possibilidade de ter mudado de mãos para outro ator, que subsequentemente decidiu atualizar e relançá-lo sob a marca RansomHub.
RansomHub, que postou sua primeira vítima no mesmo mês, foi vinculado a uma série de ataques de ransomware nas últimas semanas, contabilizando os de Change Healthcare, Christie's e Frontier Communications.
Também prometeu se abster de atacar entidades nos países do Commonwealth of Independent States (CIS), Cuba, Coreia do Norte e China.
"Ambos os payloads são escritas em Go e a maioria das variantes de cada família é ofuscada com Gobfuscate," disse Symantec, parte da Broadcom, em um relatório compartilhado com The Hacker News.
O grau de sobreposição de código entre as duas famílias é significativo, tornando muito difícil diferenciá-los.
Ambos compartilham menus de ajuda idênticos na linha de comando, com o RansomHub adicionando uma nova opção "sleep" que o torna dormente por um período de tempo especificado (em minutos) antes da execução.
Comandos de sleep similares foram observados nas famílias de ransomware Chaos/Yashma e Trigona.
As sobreposições entre Knight e RansomHub também se estendem à técnica de ofuscação usada para codificar strings, as notas de resgate deixadas após a criptografia dos arquivos e a sua capacidade de reiniciar um host em modo de segurança antes de iniciar a criptografia.
A única grande diferença é o conjunto de comandos executados via cmd.exe, embora a "forma e ordem em que são chamados em relação a outras operações seja a mesma," disse Symantec.
Ataques RansomHub foram observados explorando falhas de segurança conhecidas (por exemplo, ZeroLogon) para obter acesso inicial e instalar softwares de desktop remoto como Atera e Splashtop antes da implantação do ransomware.
De acordo com estatísticas compartilhadas pela Malwarebytes, a família de ransomware foi vinculada a 26 ataques confirmados no mês de abril de 2024 sozinho, colocando-a atrás de Play, Hunters International, Black Basta e LockBit.
Mandiant, de propriedade do Google, em um relatório publicado esta semana, revelou que o RansomHub está tentando recrutar afiliados que foram impactados por desligamentos recentes ou golpes de saída como o de LockBit e BlackCat.
"Um ex-afiliado do Noberus conhecido como Notchy agora está supostamente trabalhando com o RansomHub," disse Symantec.
Além disso, ferramentas anteriormente associadas a outro afiliado do Noberus conhecido como Scattered Spider, foram usadas em um ataque recente do RansomHub.
A velocidade com a qual o RansomHub estabeleceu seu negócio sugere que o grupo pode consistir em operadores veteranos com experiência e contatos no submundo cibernético.
Este desenvolvimento vem em meio a um aumento na atividade de ransomware em 2023 comparado a um "pequeno declínio" em 2022, mesmo quando aproximadamente um terço das 50 novas famílias observadas no ano foram encontradas como variantes de famílias de ransomware previamente identificadas, indicando a prevalência crescente de reuso de código, sobreposições de atores e renomeações.
"Em quase um terço dos incidentes, o ransomware foi implantado dentro de 48 horas do acesso inicial do atacante," disseram pesquisadores da Mandiant.
Setenta e seis por cento (76%) das implantações de ransomware ocorreram fora do horário de trabalho, com a maioria ocorrendo no início da manhã.
Esses ataques também são caracterizados pelo uso de ferramentas de desktop remoto comercialmente disponíveis e legítimas para facilitar as operações de intrusão, em oposição ao uso de Cobalt Strike.
"A crescente dependência observada em ferramentas legítimas provavelmente reflete os esforços dos atacantes para ocultar suas operações de mecanismos de detecção e reduzir o tempo e os recursos necessários para desenvolver e manter ferramentas personalizadas," disse Mandiant.
O rebote nos ataques de ransomware segue a emergência de novas variantes de ransomware como BlackSuit, Fog e ShrinkLocker, este último que foi observado implantando um Script em Visual Basic (VBScript) que aproveita a utilidade BitLocker nativa da Microsoft para criptografia não autorizada de arquivos em ataques de extorsão mirando México, Indonésia e Jordânia.
ShrinkLocker é assim nomeado por sua habilidade de criar uma nova partição de boot ao diminuir o tamanho de cada partição não-boot disponível em 100 MB, transformando o espaço não alocado em uma nova partição primária e usando-a para reinstalar os arquivos de boot a fim de habilitar a recuperação.
"Este ator de ameaça tem um entendimento extenso da linguagem VBScript e dos internos e utilitários do Windows, como WMI, diskpart e bcdboot," disse Kaspersky em sua análise do ShrinkLocker, notando que eles provavelmente "já tinham controle total do sistema alvo quando o script foi executado."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...