Brasil é alvo de grupo criminoso que reutiliza códigos antigos de ransomware

0

Novo relatório da ISH Tecnologia aponta preocupações em relação a um novo grupo de ransomware, que destaca uma tendência preocupante no cenário cibernético: Helldown, que se caracteriza pela reutilização de builders e códigos de ransomwares conhecidos como ferramenta para lançar novas ofensivas.

Esse método, que combina sofisticação técnica com economia de recursos, demonstra como criminosos digitais estão reaproveitando componentes maliciosos para criar variantes altamente perigosas, capazes de comprometer redes corporativas no Brasil e globalmente.

De acordo com a ISH, o Helldown é um exemplo claro dessa evolução adaptativa das ameaças digitais. Apesar de ser um malware recente — detectado pela primeira vez em agosto de 2024 — ele utiliza builders vazados, como o do já conhecido LockBit 3.0, conectando suas operações às de outros grupos notórios, como Donex e DarkRace. Essa abordagem não apenas facilita a disseminação de ataques semelhantes, mas também amplia o risco de variações mais devastadoras.

Além de atacar empresas com sede no Brasil, o Helldown tem como alvos redes corporativas nos Estados Unidos, Canadá, Reino Unido, França e Itália. Suas táticas incluem exploração de vulnerabilidades críticas e estratégias de dupla extorsão, o que agrava o impacto potencial sobre as instituições afetadas.

Cadeia de ataque e características técnicas

Segundo a ISH, o Helldown inicia suas ofensivas explorando vulnerabilidades como a CVE-2024-42057, que permite a execução de códigos maliciosos sem autenticação. Usando firewalls Zyxel como ponto de acesso, o malware compromete a segurança inicial de sistemas corporativos, levando algumas empresas a substituírem esses dispositivos por soluções de outras marcas após os incidentes.

O ransomware combina ferramentas como Mimikatz para o roubo de credenciais, o Advanced Port Scanner para mapear redes e o RDP padrão do Windows para movimentação lateral. O ataque culmina com a criptografia de dados, utilizando um executável nomeado "hellenc.exe". Em uma etapa final, o Helldown é programado para se autodestruir no disco rígido enquanto força a reinicialização do sistema operacional, dificultando análises forenses.

Preocupação com a reutilização de builders

A reutilização de builders vazados, como o do LockBit 3.0, por múltiplos grupos criminosos ressalta o caráter acessível e adaptável dessas ferramentas. Essa prática reduz a barreira técnica para novos ataques, permitindo que diferentes atores desenvolvam variantes com relativa facilidade. Grupos como o Helldown, Donex e DarkRace, ao se basearem em códigos preexistentes, aumentam a sofisticação e a frequência dos ataques, mirando setores críticos como energia, tecnologia e outras indústrias essenciais.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.