.

Um novo relatório da Europol sugere que a recente interrupção de grupos de ransomware como serviço (RaaS) está fragmentando o cenário de ameaças, tornando-o mais difícil de rastrear.

Atribuição em segurança cibernética é algo difícil, mas importante para os defensores ao desenvolver estratégias para mitigar ataques futuros do mesmo grupo ou indivíduo. No entanto, a maneira como os criminosos cibernéticos se reorganizam está tornando esse processo mais difícil após o êxodo em massa de afiliados de gangues de ransomware caídas, disse a agência de aplicação da lei da UE.

Criminosos são comumente vistos realinhando suas lealdades a outros grupos. No entanto, também há um aumento daqueles que optam por trabalhar de forma independente usando ferramentas roubadas e modificadas, nos disseram.

As descobertas também foram compartilhadas por membros da indústria em geral, embora desde as quedas da ALPHV/BlackCat e da LockBit no início deste ano, as coisas tenham se tornado menos tumultuadas.

“Embora pareça ter havido um aumento na fragmentação no início do ano, a WithSecure observou uma diminuição no número de sites de vazamento de RaaS ativos desde janeiro de 2024”, disse Stephen Robinson, analista sênior de inteligência de ameaças da WithSecure.

“Isso sugere que, embora a indústria tenha sido afetada, os atores se estabeleceram em um número menor de marcas que podem ser vistas como mãos seguras.”

O sucesso dos recentes esforços de interrupção direcionados a empresas como LockBit e ALPHV/BlackCat também levou a outro desenvolvimento notável, pois os afiliados estão cada vez mais buscando desenvolver suas próprias cargas úteis.

De acordo com a Eurocops, os afiliados mais talentosos das principais gangues RaaS estão ficando cansados ​​de ter que mudar de aliança quando a polícia se aproxima da operação. Eles agora estão procurando diminuir sua dependência dos grandes jogadores e, em vez disso, seguir sozinhos com suas próprias ferramentas, que geralmente são versões reformuladas de construtores vazados – uma prática comum entre grupos novatos menos sofisticados.

“Essa tendência também pode ser perpetuada pela maior disponibilidade e qualidade das ferramentas de IA que não possuem filtragem rápida, que os cibercriminosos podem usar para montar e depurar rapidamente seu código”, diz o relatório.

É uma mudança que também subverte a norma, pela qual se uma gangue é derrubada pela polícia, outra tentaria atrair o talento para sua própria operação. Uma cai, a outra se torna mais forte.

No entanto, usar versões modificadas de construtores vazados como sua principal ferramenta, sem dúvida, não é a rota mais segura para o sucesso a longo prazo. Embora o código possa ter mudado de alguma forma, os principais fornecedores de EDR têm proteções e regras implementadas que foram treinadas em vários ataques anteriores envolvendo o construtor, então é provável que, se um estágio do ataque funcionar, outro pode ser bloqueado em organizações que permanecem no topo da inteligência de ameaças.

No campo da inteligência de ameaças, Robinson disse que é difícil dizer com certeza se há de fato um aumento de lobos solitários no cenário de ransomware, como afirma a Europol, embora haja exemplos notáveis ​​que apoiam a ideia.

“Pode ter havido um aumento no número de atores operando isoladamente, sem locais de vazamento ou infraestrutura, mas isso é difícil de quantificar, pois não pode ser visto nas estatísticas dos locais de vazamento”, disse ele.

“Exemplos desse comportamento incluem a campanha GitLoker recentemente relatada visando repositórios do GitHub, e o Volcano Demon, que usa o Tox Messenger e chamadas telefônicas para negociar, em vez de um site de vazamento.”

Naturalmente, como os vazamentos do LockBit provaram no início deste ano, se você fosse um dos principais criminosos cibernéticos, isso o faria pensar em quão seguro é ter um grupo criminoso não identificado tendo acesso a qualquer nível de dados sobre você.

Depois que a Operação Cronos invadiu os servidores da LockBit, os detalhes de quase 200 afiliados foram expostos à polícia, informando futuras investigações sobre grandes crimes cibernéticos. 4 views Jul 11, 2025

Oracle desembolsa US$ 115 milhões para fazer o caso de privacidade desaparecer • st Polícia cibernética do Reino Unido e dos EUA assume plataforma de DDoS de aluguel • st