São Paulo — InkDesign News — Uma operação agressiva de ransomware como serviço (RaaS), chamada RansomHub, que ganhou destaque após ações de autoridades contra grupos como LockBit e ALPHV, aparentemente cessou suas atividades no início deste mês.
Vetor de ataque
A operação RansomHub destacou-se por sua plataforma multiplataforma de malware criptografador capaz de atuar em sistemas Windows, Linux, ESXi e FreeBSD, abrangendo arquiteturas x86, x64 e ARM. O malware utilizava procedimentos de dupla extorsão, criptografando dados com o algoritmo Curve25519 e permitindo ataques em sistemas locais e remotos via protocolos SFTP e SMB.
Os operadores proibiam ataques a países ex-líderes soviéticos, China, Cuba e Coreia do Norte, bem como instituições governamentais, devido aos riscos de retaliação, mas não impunham restrições mais amplas, o que resultou em ataques frequentes a hospitais e entidades do setor de saúde.
Impacto e resposta
Desde seu surgimento em fevereiro de 2024, RansomHub tornou-se notório pela política inovadora de permitir que afiliados negociassem diretamente com as vítimas e recebessem os pagamentos, cobrando uma taxa de apenas 10% dos valores resgatados, número inferior ao cobrado por concorrentes como LockBit e ALPHV.
Além disso, os administradores orientavam afiliados a eliminar backups, cópias de sombra do Windows e snapshots de máquinas virtuais, aumentando a pressão para o pagamento. Também recomendavam ameaçar expor publicamente os dados roubados e informar órgãos reguladores, como a GDPR, para incrementar as demandas de resgate.
“Ao fazer isso, os afiliados podem oferecer como contraproposta um valor de resgate inferior à multa que a vítima poderia eventualmente pagar ao regulador.”
(“By that, affiliates can propose as a counteroffer a ransom price lower than the amount of the fine the victim could eventually pay to the regulator.”)— Grupo RansomHub, painel de afiliados
Análise e recomendações
Pesquisadores da Group-IB relataram que a operação está inativa desde 1º de abril, e especulam que alguns operadores podem ter migrado para a plataforma russa Qilin. Além disso, discordâncias internas entre administradores e afiliados teriam causado instabilidade na rede.
Após a queda da infraestrutura de comunicação da RansomHub em 31 de março, a operação DragonForce, rival no mercado RaaS, anunciou uma possível migração dos afiliados da RansomHub para sua plataforma, embora isso não tenha sido confirmado oficialmente.
“Não podemos descartar a possibilidade de que essas postagens representem uma forma de ‘trolling’ ou publicidade oportunista por parte da DragonForce.”
(“We cannot rule out the possibility that the posts represent a form of ‘trolling’ or opportunistic advertising on the part of DragonForce.”)— Pesquisadores GuidePoint Security
Especialistas recomendam reforçar práticas de segurança para identificar tráfego anômalo, proteger backups fora da rede principal e assegurar mecanismos de detecção precoce para mitigar ataques ransomware como o da RansomHub.
Embora o futuro da operação RansomHub seja incerto, o episódio evidencia a rápida evolução e adaptação dos grupos de ransomware, reforçando a importância de estratégias dinâmicas e colaborativas para a defesa cibernética.
Links internos recomendados: cibersegurança, ameaças
Fonte: (Dark Reading – Segurança Cibernética)
