6 de junho de 2024

RansomHub: A nova ameaça de Ransomware para empresas

Compartilhe

Uma nova variante de ransomware, chamada RansomHub, foi identificada como uma versão atualizada e rebatizada do conhecido ransomware Knight. O Knight, também referido como Cyclops 2.0, surgiu em maio de 2023, utilizando táticas de dupla extorsão para roubar e criptografar dados das vítimas. Este ransomware opera em várias plataformas, incluindo Windows, Linux, macOS, ESXi e Android.

Evolução e Distribuição

Inicialmente, o Knight foi vendido no fórum de cibercrime RAMP e distribuído através de campanhas de phishing e spear-phishing. A operação de ransomware como serviço (RaaS) do Knight foi encerrada em fevereiro de 2024, após a venda de seu código-fonte, o que indica uma possível transição e relançamento sob o nome RansomHub. Desde então, o RansomHub já foi associado a diversos ataques recentes, incluindo aqueles contra Change Healthcare, Christie’s e Frontier Communications.

Características Técnicas

Tanto o Knight quanto o RansomHub são escritos em Go e utilizam Gobfuscate para ofuscação, compartilhando uma grande quantidade de código, o que torna difícil a distinção entre eles. Ambos possuem menus de ajuda idênticos na linha de comando, com o RansomHub adicionando um comando “sleep” para atrasar a execução. As semelhanças incluem técnicas de ofuscação de strings, notas de resgate e a capacidade de reiniciar o sistema em modo de segurança antes de criptografar os dados. A principal diferença está no conjunto de comandos executados via cmd.exe, embora a ordem e o modo de execução sejam similares.

Estratégias de Ataque

Os ataques do RansomHub exploram falhas de segurança conhecidas, como a ZeroLogon, para obter acesso inicial e instalar software de desktop remoto, como Atera e Splashtop, antes de implantar o ransomware. Em abril de 2024, a Malwarebytes confirmou 26 ataques do RansomHub, colocando-o atrás apenas do Play, Black Basta e LockBit em termos de atividade.

Contexto e Impacto

O rápido estabelecimento do RansomHub sugere que o grupo por trás dele é composto por operadores veteranos com vasta experiência e contatos no submundo cibernético. Este desenvolvimento ocorre em meio a um aumento na atividade de ransomware em 2023, com um terço das novas famílias sendo variantes de ransomware já conhecidos, refletindo a prevalência de reutilização de código e rebranding.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado