Ransomware é um tipo de malware projetado para criptografar os dados da vítima e exigir um pagamento de resgate em troca da chave de descriptografia.
Índice
Ransomware evoluiu para um modelo de cibercrime como serviço conhecido como Ransomware-as-a-Service (RaaS), o que ampliou seu alcance. Essa nova abordagem permite que desenvolvedores de ransomware aluguem suas ferramentas de ransomware para afiliados, resultando em mais ataques.
A cada ano, mais grupos de ransomware surgiram, cada um com táticas, alvos e impactos distintos. Abaixo estão 15 exemplos de ransomware que destacam a diversidade e a evolução dessa ameaça cibernética persistente.
RansomHub
RansomHub é um grupo de Ransomware-as-a-Service (RaaS) detectado pela primeira vez em fevereiro de 2024 e que rapidamente ganhou notoriedade por sua estratégia de "caça a grandes alvos", visando grandes empresas com maior probabilidade de pagar resgates substanciais. Acompanhado pela Trend Micro como Water Bakunawa, o RansomHub foi observado explorando vulnerabilidades em backups de armazenamento em nuvem e instâncias mal configuradas do Amazon S3, explorando a confiança entre provedores e clientes para aprimorar suas táticas de extorsão.
Rhysida
Rhysida é um grupo de ransomware que veio à tona no início de 2023, empregando táticas de dupla extorsão ao criptografar os dados das vítimas e ameaçar publicá-los caso o resgate não seja pago em Bitcoin. Eles se passam por uma equipe de Cibersegurança oferecendo ajuda às vítimas ao destacar fragilidades de segurança em suas redes e sistemas. Eles utilizam ataques de Phishing para obter acesso inicial e, em seguida, usam beacons do Cobalt Strike para movimentação lateral em máquinas comprometidas antes de implantar seu ransomware.
Figura 1: Cadeia de infecção observada do ransomware RansomHub
Akira
Akira surgiu no início de 2023 e rapidamente se estabeleceu como uma das famílias de ransomware mais notórias. O Akira utiliza táticas de dupla extorsão, um modelo de entrega de ransomware como serviço (RaaS) e opções de pagamento não convencionais, uma abordagem que contribuiu para seu sucesso operacional. O Akira é conhecido por exigir grandes pagamentos de resgate que podem variar de US$200.000 a mais de US$4 milhões.
WannaCry
O ataque de ransomware WannaCry em maio de 2017 explorou uma vulnerabilidade do Microsoft Windows que infectou mais de 200.000 sistemas em mais de 150 países. O malware criptografou arquivos e exigiu pagamentos de resgate em Bitcoin para as chaves de descriptografia. Uma das maiores vítimas do ataque WannaCry foi o Serviço Nacional de Saúde do Reino Unido (NHS), com até 70.000 dispositivos infectados e aproximadamente 19.000 consultas ou procedimentos médicos cancelados.
Figura 2: Diagrama de infecção
Clop
O ransomware Clop , às vezes referido como Cl0p, está ativo desde 2019 e é conhecido por suas táticas de extorsão multinível e ataques de alto perfil, extorquindo mais de US$500 milhões entre 2019 e 2021. O Clop também explorou vulnerabilidades em softwares amplamente utilizados, como o File Transfer Appliance da Accellion, para maximizar seu alcance.
8Base
8Base é um grupo de ransomware que se passa por testadores de penetração enquanto tem como alvo principal pequenas empresas. Eles empregam uma estratégia de dupla extorsão, criptografando dados e ameaçando expor informações sensíveis caso as vítimas não paguem o resgate. O 8Base adota uma tática de "name-and-shame" e afirma ter como alvo exclusivo organizações que negligenciaram a privacidade de dados, com o objetivo de prejudicar a reputação das vítimas ao expor informações confidenciais.
Trigona
O grupo de ransomware Trigona evoluiu rapidamente ao lançar múltiplas versões com capacidades variadas, incluindo argumentos de linha de comando para criptografia personalizada. Eles anunciaram agressivamente altas participações de receita de 20% a 50% para afiliados, indicando uma operação lucrativa. No entanto, suas atividades cessaram abruptamente em outubro de 2023, quando seu site de vazamento foi derrubado, deixando seu status operacional incerto.
Figura 3: Cadeia de infecção do ransomware Trigona
LockBit
LockBit é um grupo de ransomware proeminente que opera em um modelo de Ransomware-as-a-Service (RaaS). Eles lançaram múltiplas versões, incluindo LockBit 2.0 e 3.0, introduzindo recursos como táticas de dupla extorsão e métodos personalizados de criptografia. Em fevereiro de 2024, a Operação Cronos, um esforço internacional coordenado de aplicação da lei, interrompeu significativamente as operações do LockBit ao apreender sua infraestrutura e prender membros-chave. Apesar desses contratempos, o LockBit continua sendo uma ameaça significativa no cenário de ransomware.
BlackCat
BlackCat, também conhecido como ALPHV ou AlphaVM, é um grupo sofisticado de ransomware que opera em um modelo de Ransomware-as-a-Service (RaaS) desde o final de 2021. Eles visaram vários setores, incluindo finanças e serviços profissionais, com um número significativo de vítimas nos Estados Unidos. O BlackCat utiliza técnicas avançadas, como malvertising e exploração de vulnerabilidades como o Log4J, para obter acesso inicial. Eles também são conhecidos por seu site público de vazamento de dados, que exerce pressão sobre as vítimas para atender às exigências de resgate.
Ransomware Ryuk
Ryuk é uma variante de ransomware ligada ao grupo de cibercrime conhecido como Wizard Spider. Em 2019, o Ryuk exigiu resgates de até US$12,5 milhões e foi responsável por algumas das maiores exigências de resgate daquele ano, incluindo US$5,3 milhões e US$9,9 milhões. Suas vítimas abrangeram vários setores, incluindo governo, saúde e mídia. O grupo também está associado a outros malwares, como TrickBot e Emotet, para facilitar comprometimentos iniciais de sistemas.
Fonte: Malwarebytes
Black Basta
Black Basta é um grupo de ransomware que opera como ransomware-as-a-service (RaaS) e rapidamente ganhou destaque no cenário de ransomware ao visar uma ampla gama de setores e infraestruturas críticas em todo o mundo. O grupo foi observado explorando vulnerabilidades como QakBot, Brute Ratel e Cobalt Strike para infiltrar redes e exfiltrar dados sensíveis.
Royal
Royal, é um grupo de ransomware ativo desde o início de 2022, que rapidamente ganhou notoriedade por suas táticas agressivas e altas exigências de resgate, variando de US$250.000 a mais de US$2 milhões. O Royal emprega métodos de dupla extorsão, criptografando e exfiltrando dados, e expandiu suas operações para atingir sistemas baseados em Linux, incluindo servidores ESXi. Suas vítimas abrangem vários setores, com uma concentração significativa na América do Norte.
Figura 5: fluxo de ataque do ransomware Royal
Water Ouroboros
Water Ouroboros, surgido em outubro de 2023, opera como um grupo de Ransomware-as-a-Service (RaaS), supostamente evoluindo a partir do Hive ransomware após sua interrupção pelo FBI em janeiro de 2023. Eles se concentram mais no roubo de dados do que na criptografia, explorando vulnerabilidades, realizando dump de credenciais e usando malware avançado escrito em linguagens como Rust. Seus principais alvos incluem os Estados Unidos, Canadá, Reino Unido, França, Alemanha e Itália.
Hive
Hive é um grupo de Ransomware-as-a-Service (RaaS) que surgiu em 2021, tendo como alvo vários setores globalmente, incluindo saúde, finanças e manufatura. Eles empregam táticas de dupla extorsão, criptografando dados e ameaçando divulgar informações sensíveis caso o resgate não seja pago. Em janeiro de 2023, o FBI interrompeu as operações do Hive, mas o grupo continua operando sob diferentes aliases.
Proteção contra ransomware da Trend Micro
No ano passado, 83% das organizações enfrentaram múltiplas violações, custando US$ 4,4 milhões cada, enquanto a redução da exposição ao risco levou a uma economia média de US$ 1,3 milhão.
Cyber Risk Exposure Management, parte da nossa plataforma corporativa de Cibersegurança Trend Vision One™, reduz drasticamente o risco cibernético com descoberta contínua, avaliações em tempo real e mitigação automatizada em ambientes de nuvem, híbridos ou on-premises.
Joe Lee é Vice-Presidente de Gerenciamento de Produto na Trend Micro, onde lidera a estratégia global e o desenvolvimento de produtos para soluções de e-mail empresarial e network security.