RansomHub utiliza novo backdoor para sofisticar ataques, aponta monitoramento

No artigo formulado pelo time de inteligência de Ameaças da Symantec, os especialistas explicam que o novo malware foi desenvolvido para facilitar a entrada de criminosos em redes comprometidas e reforçar ataques de sequestro de dados

Compartilhar:

O grupo de cibercriminosos por trás do RansomHub, uma das operações de ransomware mais ativas do mundo, passou a utilizar uma nova ferramenta personalizada para ataques. Segundo a Symantec, o backdoor chamado Betruger foi identificado em recentes invasões e representa uma ameaça crescente para empresas e instituições.

 

O novo malware

Diferente da maioria dos grupos de ransomware, que costumam utilizar ferramentas de código aberto e softwares legítimos para comprometer sistemas, os hackers o investiram no desenvolvimento de um backdoor multifuncional capaz de capturar telas, registrar teclas digitadas, executar escaneamento de redes, roubar credenciais de acesso e enviar arquivos para servidores controlados pelos criminosos.

 

Além disso, a Symantec informou que o malware foi projetado para operar de forma discreta, evitando a detecção por sistemas de segurança convencionais. Inclusive, em seu artigo, a companhia apontou que os criminosos poderiam também ter utilizado nomes como mailer.exe e turbomailer.exe para disfarçar o malware como um programa legítimo.

 

 Sofisticação nos Ataques Cibernéticos

Segundo a pesquisa, o RansomHub tem crescido rapidamente desde sua primeira aparição, em fevereiro de 2024. O grupo se tornou a operação de ransomware mais ativa no terceiro trimestre de 2024. A gangue cibercriminosa foca em cobrar resgates mais caros das vítimas e um modelo de pagamento mais direto, que facilita sua lucratividade. Além disso, os especialistas apontaram as ferramentas frequentemente empregadas pelos afiliados do RansomHub.

 

Entre elas estão o Impacket (conjunto de scripts em Python para manipulação de protocolos de rede), Mimikatz (software de extração de credenciais do Windows), Rclone (aplicação de gerenciamento de arquivos em nuvem, usada para exfiltrar dados roubados) e ScreenConnect e TightVNC (Softwares legítimos de acesso remoto, frequentemente explorados para controle total das máquinas infectadas).

 

Como se Proteger?

A equipe de cibersegurança da Symantec recomendou que empresas reforcem suas estratégias de defesa cibernética para mitigar riscos de ataques deste ou outros grupos de ransomware.

 

Algumas medidas incluem a atualização de sistemas e softwares, para evitar vulnerabilidades conhecidas. Também apontou o monitoramento de acessos remotos, a fim de identificar atividades suspeitas e o uso de autenticação multifator para reduzir chances de invasões por roubo de credenciais.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Febraban faz alerta sobre golpes em maquininhas de cartão

A federação alerta sobre bandidos que enganam clientes em ações criminosas com maquininhas com o visor danificado e trocas de...
Security Report | Overview

Maio marca o segundo maior pico de tentativas de golpe em 2025, revela estudo

Indicador aponta mais de 1,2 milhão de tentativas de fraude em maio de 2025 no Brasil, o equivalente a uma...
Security Report | Overview

ANPD divulga defesa de legislação para governança de IA

Durante Congresso de Governança de Segurança da Informação e Privacidade de Dados, a ANPD destacou projetos de regulação e reforçou...
Security Report | Overview

Hacker usa criador de sites com IA para lançar ataques de phishing, afirma pesquisa

Relatório revela como criminosos estão explorando o construtor de sites com IA para criar campanhas de phishing, fraude e malware...