A Sophos divulgou um novo relatório, intitulado “Junk Gun’ Ransomware: Peashooters Can Still Pack a Punch”, que traz insights sobre uma ameaça crescente no cenário do ransomware. Desde junho de 2023, a Sophos X-Ops, equipe multioperacional da companhia, descobriu 19 variantes do ransomware “junk gun” – versões baratas e de má qualidade do malware, produzidas de forma independente – na dark web.
Diante disso, a empresa concluiu que os desenvolvedores desses golpes estão tentando romper o modelo tradicional de ransomware como serviço (RaaS) baseado em afiliados, abordagem que dominou o mercado por quase uma década. Em vez de vender ou comprar ransomware dessa maneira, os atacantes comercializam opções menos sofisticadas por um preço único, o que pode ser visto como uma oportunidade para cibercriminosos atingirem pequenas e médias empresas (PMEs) ou até indivíduos.
“Nos últimos um ou dois anos, o ransomware atingiu uma espécie de estabilidade. Ele ainda é uma das ameaças mais sérias entre as empresas, inclusive, nosso mais recente relatório Active Adversary constatou que o número de ataques se estagnou e o esquema RaaS permaneceu como o modelo operacional padrão para a maioria dos grupos criminosos”, afirma Christopher Budd, diretor de pesquisa de ameaças da Sophos.
Entretanto, Budd afirma que, nos últimos dois meses, alguns dos maiores agentes deste ecossistema desapareceram ou “fecharam as portas”. No passado, também foram vistos afiliados de ransomware expressarem sua raiva em relação ao sistema de distribuição de lucros do RaaS. Nada no mundo do crime cibernético permanece estático para sempre, e essas versões baratas prontas para uso podem ser a próxima evolução deste cenário, especialmente para os atacantes menos qualificados que buscam simplesmente obter lucro em vez de ganhar fama.
Conforme observado no relatório da Sophos, o preço médio dessas variantes de “junk gun” na dark web é de US$ 375, valor significativamente mais baixo do que alguns pacotes de RaaS, que podem custar mais de US$ 1 mil. O estudo indica que os atacantes têm implementado quatro dessas versões em seus ataques e que, embora os recursos desse tipo de ameaça variem muito, seus maiores argumentos de venda são que o produto requer pouca ou nenhuma infraestrutura de suporte para operar e que os usuários não são obrigados a compartilhar seus lucros com os criadores dos golpes.
Além disso, as discussões sobre o “junk gun” estão ocorrendo principalmente em fóruns da dark web de língua inglesa, destinados a criminosos de nível mais baixo, em vez de espaços bem estabelecidos que usam o idioma russo e são geralmente frequentados por grupos de atacantes mais famosos. Essas diferenças oferecem uma maneira mais atraente para os cibercriminosos iniciantes adentrarem o mundo do ransomware e, juntamente com os anúncios dessas variantes, há diversas postagens pedindo conselhos e tutoriais sobre como começar.
“Esses tipos de variantes de ransomware não vão exigir resgates milionários, como o Clop e o Lockbit, mas podem, de fato, ser eficazes contra pequenas e médias empresas e, para muitos atacantes em início de ‘carreira’, isso é suficiente. Embora o fenômeno do ‘junk gun’ ainda seja relativamente novo, já vimos postagens de seus criadores sobre as ambições de expandir as operações, além de diversas publicações de outras pessoas falando sobre a criação de suas próprias variantes de ransomware”, Prossegue Budd.
“O mais preocupante é que essa nova ameaça representa um desafio diferente para as equipes de defesa. Como essas variantes são usadas contra pequenas e médias empresas e os pedidos de resgate são baixos, é provável que a maioria dos ataques não seja detectada nem denunciada. Isso deixa uma lacuna de inteligência para os defensores que a comunidade de segurança terá que preencher”, completa.