RansomHub utiliza novo backdoor para sofisticar ataques, aponta monitoramento

No artigo formulado pelo time de inteligência de Ameaças da Symantec, os especialistas explicam que o novo malware foi desenvolvido para facilitar a entrada de criminosos em redes comprometidas e reforçar ataques de sequestro de dados

Compartilhar:

O grupo de cibercriminosos por trás do RansomHub, uma das operações de ransomware mais ativas do mundo, passou a utilizar uma nova ferramenta personalizada para ataques. Segundo a Symantec, o backdoor chamado Betruger foi identificado em recentes invasões e representa uma ameaça crescente para empresas e instituições.

 

O novo malware

Diferente da maioria dos grupos de ransomware, que costumam utilizar ferramentas de código aberto e softwares legítimos para comprometer sistemas, os hackers o investiram no desenvolvimento de um backdoor multifuncional capaz de capturar telas, registrar teclas digitadas, executar escaneamento de redes, roubar credenciais de acesso e enviar arquivos para servidores controlados pelos criminosos.

 

Além disso, a Symantec informou que o malware foi projetado para operar de forma discreta, evitando a detecção por sistemas de segurança convencionais. Inclusive, em seu artigo, a companhia apontou que os criminosos poderiam também ter utilizado nomes como mailer.exe e turbomailer.exe para disfarçar o malware como um programa legítimo.

 

 Sofisticação nos Ataques Cibernéticos

Segundo a pesquisa, o RansomHub tem crescido rapidamente desde sua primeira aparição, em fevereiro de 2024. O grupo se tornou a operação de ransomware mais ativa no terceiro trimestre de 2024. A gangue cibercriminosa foca em cobrar resgates mais caros das vítimas e um modelo de pagamento mais direto, que facilita sua lucratividade. Além disso, os especialistas apontaram as ferramentas frequentemente empregadas pelos afiliados do RansomHub.

 

Entre elas estão o Impacket (conjunto de scripts em Python para manipulação de protocolos de rede), Mimikatz (software de extração de credenciais do Windows), Rclone (aplicação de gerenciamento de arquivos em nuvem, usada para exfiltrar dados roubados) e ScreenConnect e TightVNC (Softwares legítimos de acesso remoto, frequentemente explorados para controle total das máquinas infectadas).

 

Como se Proteger?

A equipe de cibersegurança da Symantec recomendou que empresas reforcem suas estratégias de defesa cibernética para mitigar riscos de ataques deste ou outros grupos de ransomware.

 

Algumas medidas incluem a atualização de sistemas e softwares, para evitar vulnerabilidades conhecidas. Também apontou o monitoramento de acessos remotos, a fim de identificar atividades suspeitas e o uso de autenticação multifator para reduzir chances de invasões por roubo de credenciais.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...