O “reinado de terror” do grupo LockBit enfraqueceu após repressão policial. Porém, um novo adversário preencheu rapidamente essa lacuna: trata-se do RansomHub, que surgiu em fevereiro e já reivindicou quase um quinto de todas as vítimas de ransomware em setembro de 2024.
O ecossistema de ransomwares está sendo sacudido por uma importante mudança, com novos cibercriminosos ganhando terreno à medida que antigas ameaças declinam. Na prática, isso torna o cenário atual ainda mais complexo e perigoso.
Em setembro deste ano, as gangues de ransomware registraram 392 vítimas em seus sites de extorsão. E o grupo RansomHub foi o responsável pela grande maior parte delas, com 19% do total e 74 vítimas. Em 2º lugar, vem a gangue Play, com 43 vítimas reivindicadas, seguida pela Qilin (23 vítimas), Medusa (21) e só então a antiga campeã LockBit (20).
➡️Vale lembrar que, em 2022 e 2023, a LockBit foi responsável por 40% de todas as vítimas de ransomware, mas as habilidades desse cartel caíram para apenas 5%. Além disso, 4 entre 10 vítimas do grupo foram “recicladas de ataques anteriores”.
Em maio de 2024, o líder do LockBit foi exposto em uma operação do FBI e 6 membros foram acusados pela participação. Em outubro, a gangue sofreu outra contrapartida severa quando as autoridades apreenderam seus servidores críticos e prenderam 4 membros.
O que é o RansomHub?
O RansomHub é um grupo de ransomware relativamente novo e que despontou rápido no cenário do cibercrime, levando as autoridades dos EUA a divulgarem um comunicado conjunto. Nessa época, a gangue já havia invadido mais de 200 organizações – e suas atividades só aumentaram nos meses seguintes.
Acreditava-se também que o grupo hacker era conectado ao ALPHV, outra notória gangue de ransomware.
“O grupo alcançou sucesso significativo ao operar em um modelo de ransomware-as-a-service, permitindo que os afiliados executasse ataques usando suas ferramentas e infraestrutura”, afirmou a Check Point.
É interessante destacar, ainda, que o RansomHub trouxe algumas inovações tecnológicas para a mesa. Suas ferramentas são capazes de realizar criptografia remota. Os afiliados exploram máquinas desprotegidas e expostas, reduzindo o risco de detecção e aumentando a taxa de sucesso dos ataques.
Em seu site de extorsão na dark web, o RansomHub declara que “só está interessado em dólares”, afirmando também que “não permite que a Rússia, seus aliados, Cuba, Coreia do Norte e a China sejam atacados”.
O operador de ransomware pede por 10% dos lucros dos seus afiliados. O grupo se baseia em táticas de extorsão dupla, ameaçando divulgar publicamente as informações criptografadas se a vítima se recusar a pagar o resgate.
Com informações de: Cybernews
Imagem: Freepik
