.

RansomHub, o coletivo de ransomware que surgiu no início deste ano, rapidamente ganhou impulso, ultrapassando seus colegas criminosos e atingindo suas vítimas de maneira especialmente dura. O grupo nomeou e envergonhou centenas de organizações no seu site de vazamento, enquanto exigia pagamentos exorbitantes em vários setores.

O grupo, uma suposta reformulação da marca Knight, apareceu pela primeira vez em fevereiro e rapidamente contratou afiliados desempregados da Lockbit após a remoção da equipe pela aplicação da lei na mesma época. O RansomHub também preencheu avidamente o vazio deixado pelo ALPHV/BlackCat após o golpe de saída amplamente divulgado desse grupo em março – gabando-se de recrutar afiliados de ambos os grupos extintos por meio de TOX e fóruns de crimes cibernéticos.

Em agosto, apenas seis meses depois de se estabelecer, o RansomHub já havia feito 210 vítimas e chamado a atenção do FBI, da CISA e de outras agências governamentais que caçavam criminosos cibernéticos. Suas vítimas supostamente incluem a casa de leilões Christie’s, Frontier Communications, a rede de farmácias norte-americana Rite Aid, a Planned Parenthood e as bibliotecas públicas de Delaware, entre muitas outras.

Desde então, sua marca de malware se tornou o criptografador preferido do Scattered Spider e de outros criminosos sofisticados, e a gangue postou um recorde de 98 vítimas em seu site de vazamento em novembro.

Mas, como outros ladrões digitais prolíficos – incluindo o Scattered Spider – aprenderam, uma série de ataques de alto perfil aponta um alvo muito grande para o grupo e suas afiliadas. Embora seja muito mais difícil prender criminosos de ransomware que recebem porto seguro dos promotores russos, até mesmo os criminosos cibernéticos tiram férias – e às vezes, os policiais estão esperando para fazer prisões durante esses momentos.

Ameaça de ransomware ‘mais ativa e significativa’

“Não quero colocar o RansomHub em um pedestal. Eles são um grupo oportunista”, disse Michael McPherson, vice-presidente sênior de operações de segurança da ReliaQuest. O Registro. “Mas eles foram espertos ao fazer essa apropriação de terras naquele momento. Será interessante ver por quanto tempo eles conseguirão manter essa corrida.”

Durante seu breve mandato, o grupo ligado à Rússia tornou-se conhecido como “a ameaça mais ativa e significativa na atividade de ransomware”, de acordo com um relatório de 30 de outubro da ReliaQuest, que chamou a gangue de o grupo de ransomware mais dominante durante o terceiro trimestre de 2024.

“É um grupo interessante que teve uma ascensão meteórica e quase parece surgir do nada”, admitiu McPherson, ex-agente especial do FBI. “Houve um esforço óbvio para o RansomHub ganhar afiliados. Eles são muito, eu diria, generosos em seu modelo e anunciam uma divisão de 90-10.”

Isso significa que os afiliados que realizam o ataque podem ficar com 90% do pagamento da extorsão, enquanto os operadores de ransomware recebem 10%. Uma divisão de 80-20 ou 70-30 é mais comum entre essas equipes criminosas, então o pagamento mais alto torna mais fácil para os novos garotos do quarteirão atrair mais trabalhadores.

Será interessante ver por quanto tempo eles conseguirão manter essa corrida

“Essas afiliadas irão para onde está o dinheiro, e se alguém pagar mais, seria tolice não ir para lá”, opinou McPherson, acrescentando que este modelo de negócio “alimentaria a capacidade do RansomHub de sair e atingir tantas vítimas ao mesmo tempo, ter uma grande base de afiliados.”

Além disso, os operadores do RansomHub em seus sites obscuros gostam de promover a transparência com seus afiliados – provavelmente um esforço para construir a confiança de outros criminosos, após o suposto esquema de saída do ALPHV.

“Há marketing envolvido”, observou McPherson. “Eles estão entrando em contato com afiliados, tentando ser mais parceiros deles. Eles estão tentando evoluir e aproveitar o cenário do crime cibernético para conquistar participação de mercado.

Tripulação ‘agiu rápido e preencheu um vazio’

Ainda assim, as táticas do grupo não são únicas, observou ele. O grupo emprega código Knight reaproveitado e métodos de extorsão dupla – que são usados ​​pela maioria das gangues de ransomware atualmente.

Isso envolve primeiro invadir a rede de suas vítimas e roubar arquivos valiosos e, em seguida, criptografar os dados na rede, ao mesmo tempo em que extorque as organizações por enormes somas de dinheiro em sites de vazamento da dark web.

“Suas táticas reais não são únicas, mas sua capacidade de se mover rapidamente e preencher uma lacuna é o que os torna tão notáveis ​​

4 views May 26, 2025
As intrusões cibernéticas da China tornam-se sinistras em 2024 • st Microsoft sinaliza problema de mídia de instalação do Windows 11 24H2 • st