O infame grupo de cibercrime conhecido como Scattered Spider incorporou strains de ransomware como RansomHub e Qilin ao seu arsenal, conforme revelado pela Microsoft.
Scattered Spider é a designação dada a um ator de ameaça conhecido por seus sofisticados esquemas de engenharia social para violar alvos e estabelecer persistência para explorações subsequentes e roubo de dados.
Também tem histórico de mirar em servidores VMware ESXi e implantar o ransomware BlackCat.
Ele compartilha sobreposições com clusters de atividades rastreados pela comunidade de cibersegurança mais ampla sob os codinomes 0ktapus, Octo Tempest e UNC3944.
No mês passado, foi relatada a prisão de um membro-chave do grupo na Espanha.
O RansomHub, que surgiu no cenário em fevereiro deste ano, foi avaliado como um rebranding de outra strain de ransomware chamada Knight, de acordo com uma análise da Broadcom-owned Symantec no mês passado.
"RansomHub é um payload de ransomware-as-a-service (RaaS) usado por cada vez mais atores de ameaça, incluindo aqueles que historicamente utilizaram outros payloads de ransomware (às vezes extintos) (como BlackCat), tornando-o uma das famílias de ransomware mais difundidas atualmente," disse a Microsoft.
O fabricante do Windows disse que também observou o RansomHub sendo implantado como parte da atividade após comprometimento pelo Manatee Tempest (também conhecido como DEV-0243, Evil Corp ou Indrik Spider) seguindo o acesso inicial obtido pelo Mustard Tempest (também conhecido como DEV-0206 ou Purple Vallhund) por meio de infecções por FakeUpdates (também conhecido como Socgholish).
Vale ressaltar aqui que o Mustard Tempest é um broker de acesso inicial que, no passado, utilizou FakeUpdates em ataques que levaram a ações que lembram o comportamento pré-ransomware associado ao Evil Corp.
Essas intrusões também foram notáveis pelo fato de FakeUpdates ser entregue via infecções existentes de Raspberry Robin.
O desenvolvimento ocorre em meio à emergência de novas famílias de ransomware como FakePenny (atribuída a Moonstone Sleet), Fog (distribuído por Storm-0844, que também propagou Akira) e ShadowRoot, este último observado visando empresas turcas usando falsas faturas PDF.
"Conforme a ameaça de ransomware continua a aumentar, expandir e evoluir, usuários e organizações são aconselhados a seguir as melhores práticas de segurança, especialmente higiene de credenciais, princípio do menor privilégio e Zero Trust," disse a Microsoft.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...