São Paulo — InkDesign News — A operação de ransomware agressiva RansomHub, que ganhou destaque após ações policiais contra os grupos LockBit e ALPHV, parece ter cessado suas atividades abruptamente em abril de 2024.
Vetor de ataque
RansomHub operava como um serviço de ransomware (RaaS), oferecendo um malware multiplataforma capaz de operar em Windows, Linux, ESXi e FreeBSD com suporte a processadores x86, x64 e ARM. Sua capacidade incluía a encriptação de sistemas de arquivos locais e remotos via protocolos SFTP e SMB, ampliando o espectro de alvos possíveis. O ransomware utilizava variantes reescritas em GoLang e aplicava criptografia Curve25519 para ataques de dupla extorsão.
A operação permitia aos afiliados uma autonomia incomum, como comunicar-se diretamente com as vítimas e coletar pagamentos, cobrando uma taxa de apenas 10% sobre o resgate, significativamente menor que os 20% a 30% praticados por outros grupos como LockBit e ALPHV. Havia restrições explícitas para não atacar países da CEI, China, Cuba e Coreia do Norte, nem órgãos governamentais, devido ao alto risco de retaliação.
Impacto e resposta
O impacto da operação foi amplo, com ataques focados em setores críticos como saúde, infraestrutura, serviços financeiros e governo. Hospitais e unidades médicas foram alvo frequente, a ponto de o grupo ser apontado como o que mais vitimou esse setor em 2024.
Os operadores adotavam táticas de extorsão agressivas, incluindo exclusão de backups, cópias do Windows Shadow e snapshots de máquinas virtuais, bem como ameaças de vazamento público dos dados exfiltrados. A estratégia incluía ainda usar ameaças regulatórias, como multas do GDPR, para pressionar as vítimas a pagarem valores inferiores aos potenciais encargos legais.
“Eles usam variantes de ransomware reescritas em GoLang para atacar sistemas Windows e Linux.”
(“They use ransomware variants rewritten in GoLang to target both Windows and Linux systems.”)— Darktrace, empresa de segurança
Análise e recomendações
Desde o surgimento, em fevereiro de 2024, RansomHub enfrentou conflitos internos que provavelmente resultaram na paralisação das operações em 1º de abril. A migração de cibercriminosos para outros grupos, como o Qilin e possivelmente DragonForce, indica um reposicionamento no cenário de RaaS russo.
Recomenda-se que organizações reforcem as estratégias de backup isolado, monitoramento de atividades suspeitas em protocolos SMB e SFTP, além de capacitação para identificar tentativas de dupla extorsão. A colaboração com agências regulatórias e uso de ferramentas de resposta a incidentes também são cruciais para mitigar o impacto desses ataques sofisticados.
“Por isso, afiliados podem propor um valor de resgate menor que a multa que a vítima poderia pagar às autoridades regulatórias.”
(“By that, affiliates can propose as a counteroffer a ransom price lower than the amount of the fine the victim could eventually pay to the regulator.”)— Relatório Group-IB
O desaparecimento abrupto do RansomHub destaca a volatilidade do mercado de ransomware e reforça a necessidade contínua de vigilância pelas equipes de segurança. Atualizações futuras e monitoramento sobre a real cessação das operações ou reagrupamentos são esperados para o setor de segurança cibernética.
Mais sobre Segurança Cibernética | Mais sobre Ameaças
Fonte: (Dark Reading – Segurança Cibernética)
