O LockBit é um grupo de Ransomware como Serviço (RaaS) que está ativo desde setembro de 2019 e é o mais dominante em termos de números de vítimas no mundo, com mais de 1.000 organizações afetadas. Dados da Check Point apontam que os países mais impactados por esse grupo são os Estados Unidos, Reino Unido, França, Alemanha e Canadá. Além disso, os setores mais atacados são manufatura (quase 25% das vítimas) e o varejo.
Ao operar como “provedor” de RaaS, ele fornece infraestrutura para outros cibercriminosos, conhecidos como afiliados, que então realizam seus ataques. Isso permite que o LockBit escale suas operações e atinja um maior número de vítimas. O LockBit também implementa a técnica de “dupla extorsão” em ataques de ransomware, que envolve a publicação dos dados roubados a menos que um resgate seja pago.
Nas últimas semanas, o suporte do LockBit foi envolvido em uma importante disputa em um fórum clandestino russo de grande relevância, sendo proibido de realizar qualquer atividade nele devido a questões éticas duvidosas. Isso resultou em uma interrupção significativa das operações do grupo RaaS, devido à proibição nos dois principais fóruns de hacking russos.
Os especialistas da Check Point presumem que a combinação desses dois fatores terá um grande impacto nas operações do LockBit, especialmente em termos de reputação, e causará dificuldades significativas para recrutar e manter afiliados que operem esse ransomware. Geralmente, esses grupos tão populares não desaparecem completamente, então é possível que se espere algum tipo de “rebranding” (reformulação).
Eles dizem que se trata de um momento difícil para o LockBit, que recentemente foi removido de dois fóruns russos de cibercrime devido à sua “ética” empresarial questionável. Ainda houve uma ação das autoridades do Reino Unido e dos Estados Unidos para combater as operações da quadrilha, o que provavelmente afetará sua capacidade de recrutar e manter afiliados, dizem os pesquisadores.
No entanto, eles ressaltam que os grupos de ransomware são muito resilientes e podem ressurgir sob uma identidade diferente em pouco tempo. A ameaça deste grupo de cibercriminosos e de outros grupos de ransomware continuará, e as empresas devem estar sempre alertas.
Os pesquisadores da Check Point Software avaliaram em janeiro as informações derivadas de mais de 200 “sites da vergonha” (“shame sites”), ou seja, sites de difamação administrados por grupos de ransomware de dupla extorsão, 68 dos quais postaram os nomes e informações das vítimas este ano.
Os cibercriminosos usam esses sites para pressionar as vítimas que não pagam o resgate imediatamente. Os dados desses sites de difamação carregam seus próprios preconceitos, mas ainda fornecem informações valiosas sobre o ecossistema de ransomware, que atualmente é o risco número um às organizações.
No mês passado, o LockBit3 foi o ransomware de maior destaque, responsável por 20% dos ataques realizados, seguido pelo 8Base com 10% e pelo Akira com 9%.
1.LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.
2.8base – O grupo de ameaças 8Base é uma gangue de ransomware que está ativa pelo menos desde março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento em suas atividades. Este grupo foi observado usando uma série de variantes de ransomware, sendo Phobos um elemento comum. A 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas em seu ransomware. Os métodos do grupo incluem táticas de dupla extorsão.
3.Akira Ransomware, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Ele usa criptografia simétrica com CryptGenRandom e Chacha 2008 para criptografia de arquivos e é semelhante ao ransomware Conti v2 que vazou. O Akira é distribuído por vários meios, incluindo anexos de e-mail infectados e explorações em endpoints de VPN. Após a infecção, ele criptografa os dados e anexa uma extensão “[.] akira” nos nomes dos arquivos e, em seguida, apresenta uma nota de resgate exigindo pagamento pela descriptografia.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).