O FBI (Federal Bureau of Investigation) dos EUA anunciou na segunda-feira que havia interrompido com sucesso a infraestrutura online de um grupo de ransomware nascente conhecido como Dispossessor, também conhecido como Radar.
A operação resultou no desmantelamento de 24 servidores nos EUA, Reino Unido e Alemanha, juntamente com a remoção de oito domínios criminosos nos EUA e um na Alemanha. O Dispossessor, supostamente liderado por um indivíduo ou grupo usando o pseudônimo “Brain“, está ativo desde agosto de 2023.
“Desde seu início, o Radar/Dispossessor evoluiu rapidamente para um grupo de ransomware de importância internacional, visando pequenas e médias empresas e organizações em setores como produção, desenvolvimento, educação, saúde, serviços financeiros e transporte”, afirmou o FBI.
Até o momento, 43 empresas em 14 países — incluindo Argentina, Austrália, Bélgica, Brasil, Canadá, Croácia, Alemanha, Honduras, Índia, Peru, Polônia, EAU, Reino Unido e EUA foram identificados como vítimas dos ataques do Dispossessor.
O Dispossessor, que compartilha semelhanças com o grupo de ransomware LockBit, opera como uma organização de ransomware como serviço (RaaS), empregando um modelo de extorsão dupla em que os dados das vítimas são exfiltrados e mantidos para resgate, além de criptografar seus sistemas. As vítimas que se recusam a pagar são ameaçadas com a exposição de dados públicos.
As cadeias de ataque orquestradas pelo Dispossessor alavancaram vulnerabilidades em sistemas com falhas de segurança ou senhas fracas, permitindo que os agentes da ameaça obtivessem acesso elevado e bloqueassem os dados das vítimas atrás de barreiras de criptografia.
“Se uma empresa fosse atacada e não contatasse o agente criminoso, o grupo entraria em contato proativamente com outras pessoas dentro da empresa vítima, seja por e-mail ou telefonema”, observou o FBI.
Essas comunicações geralmente incluíam links para plataformas de vídeo exibindo os arquivos roubados, com o objetivo de aumentar a pressão de chantagem e obrigar as vítimas a pagar.
A empresa de segurança cibernética SentinelOne relatou anteriormente que o Dispossessor anunciou dados vazados para download e venda, observando que o grupo “parece estar republicando dados previamente vinculados a outras operações, incluindo Cl0p, Hunters International e 8Base.”
A frequência crescente de tais remoções ressalta os esforços crescentes de agências de aplicação da lei em todo o mundo para combater a ameaça persistente de ransomware. Apesar desses esforços, os agentes de ameaças continuam a inovar e se adaptar ao cenário digital em constante mudança.
Uma tendência emergente é o aumento de ataques executados por meio de contratados e provedores de serviços, revelando como os criminosos cibernéticos estão explorando relacionamentos confiáveis em seu benefício. Essa tática permite ataques em larga escala com esforço mínimo, muitas vezes passando despercebidos até que vazamentos de dados ou dados criptografados venham à tona.
De acordo com dados coletados pela Unidade 42 da Palo Alto Networks em sites de vazamento, os setores mais afetados por ransomware durante o primeiro semestre de 2024 foram manufatura (16,4%), saúde (9,6%) e construção (9,4%).
Durante esse período, alguns dos países mais visados incluíram o EUA, Canadá, Reino Unido, Alemanha, Itália, França, Espanha, Brasil, Austrália e Bélgica.
“A atividade de ransomware foi impulsionada principalmente por vulnerabilidades recentemente divulgadas, à medida que os invasores rapidamente se moviam para explorar essas oportunidades”, observou a empresa. “Os agentes de ameaças visam consistentemente as vulnerabilidades para obter acesso às redes das vítimas, elevar privilégios e se mover lateralmente em ambientes comprometidos.”
Uma tendência significativa observada foi o aumento de grupos de ransomware novos ou renomeados, que representaram 21 dos 68 grupos exclusivos envolvidos em tentativas de extorsão. Além disso, houve um aumento acentuado no direcionamento de organizações menores, de acordo com o Rapid7.
“Isso pode ser devido a vários fatores, o principal deles é que organizações menores possuem muitos dos mesmos dados que os agentes de ameaças buscam, mas geralmente têm medidas de segurança menos robustas em vigor”, explicou o Rapid7.
Outro aspecto crucial é a crescente profissionalização do modelo de negócios de ransomware como serviço (RaaS). Os grupos de ransomware não estão apenas se tornando mais sofisticados, mas também estão cada vez mais escalando suas operações para se assemelharem a empresas corporativas legítimas.
“Esses grupos têm seus próprios mercados, vendem seus próprios produtos e, em alguns casos, oferecem suporte 24 horas por dia, 7 dias por semana”, destacou o Rapid7. “Eles também parecem estar promovendo um ecossistema de colaboração e consolidação nos tipos de ransomware que implantam.”
Fonte: TheHackerNews