A ISH Tecnologia divulga um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de dezembro.
No último mês de 2022, a empresa focou seu alerta nos ransomwares: além de explicar o modelo pelo qual muitos grupos tem operado para realizar ataques, a empresa traz novos grupos envolvidos em um número cada vez maior de incidentes.
Confira:
RaaS e seus principais grupos
A sigla significa “Ransomware as a Service – Ransomware como serviço”, e seu uso tem crescido cada vez mais. Trata-se de um modelo baseado em assinatura, no qual os afiliados utilizam ferramentas de outros ransomwares já desenvolvidos para executar ataques. Neste tipo de negócio os desenvolvedores acabam ganhando uma fatia do valor de resgate pago pelas vítimas.
Tal modelo tem se tornado cada vez mais popular uma vez que não requer aos agentes criminosos tenham alto conhecimento técnico para codificar o ransomware, bastando apenas fazer a compra do ransomware de outros grupos.
A ISH também lista os três grupos mais envolvidos em incidentes cibernéticos no último ano, que atuam por meio de RaaS:
Darkside: Focados principalmente em máquinas Windows, com uma recente expansão para o sistema operacional Linux, visando majoritatiamente ambientes e vítimas do meio corporativo. É o grupo responsável pelo ataque cibernético ao maior oleoduto dos Estados Unidos, em 2021.
REvil: Também conhecido como “Sodinokibi”, foi identificado como o responsável por um dos maiores pedidos de resgate já registrados, de aproximadamente 10 milhões de dólares (cerca de 54 milhões de reais, na cotação atual). O grupo costuma ficar com 40% dos lucros dos ataques, e notifica vítimas dos vazamentos de dados por meio de postagens em blogs, com pequenas amostras dos dados roubados como prova.
LockBit: De origem holandesa, e em operação desde setembro de 2019. Como mostra sua página oficial, o grupo afirma ser apolítico, e não fazer distinção de país, língua ou orientação religiosa para aceitar novos membros. “Nosso único interesse é o dinheiro”.
Recentemente, o grupo esteve envolvido em um caso curioso: uma de suas mais recentes vítimas foi uma instituição de saúde do Canadá. Porém, ao se dar conta de que se tratava de um hospital destinado ao cuidado de crianças, o grupo, em comunicado oficial, pediu desculpas, e informou ter disponibilizado a ferramenta para descriptografar os dados e expulsado o afiliado responsável pelo ataque das suas operações.
Monti
Ainda pouco conhecido na comunidade, devido às poucas evidências de sua atividade. Trata-se de um grupo que, segundo as primeiras análises, imita os procedimentos do ransomware Conti, mundialmente conhecido. Dados como guias de treinamento e códigos fonte deste grupo foram vazados em fevereiro de 2022, o que pode explicar a abordagem e o nome semelhantes.
Cuba
Seus primeiros registros datam de dezembro de 2019, e possui duas distinções mais claras em relação a outros grupos: além de, inicialmente, não informar às vítimas que foram invadidas, disponibiliza alguns dados roubados para download gratuito.
Em seu site oficial, ilustrado pelas figuras políticas cubanas Fidel Castro e Che Guevara, o grupo afirma: “esse site possui informações de empresas que não quiseram cooperar conosco. Parte delas está à venda, e parte está disponível gratuitamente. Divirta-se.”
Com um total de 85 vítimas anunciadas, atingiu até o momento principalmente instituições ligadas a Finanças, Saúde e Tecnologia da Informação, além de instalações governamentais.
