O grupo de cibercriminosos por trás do RansomHub, uma das operações de ransomware mais ativas do mundo, passou a utilizar uma nova ferramenta personalizada para ataques. Segundo a Symantec, o backdoor chamado Betruger foi identificado em recentes invasões e representa uma ameaça crescente para empresas e instituições.
O novo malware
Diferente da maioria dos grupos de ransomware, que costumam utilizar ferramentas de código aberto e softwares legítimos para comprometer sistemas, os hackers o investiram no desenvolvimento de um backdoor multifuncional capaz de capturar telas, registrar teclas digitadas, executar escaneamento de redes, roubar credenciais de acesso e enviar arquivos para servidores controlados pelos criminosos.
Além disso, a Symantec informou que o malware foi projetado para operar de forma discreta, evitando a detecção por sistemas de segurança convencionais. Inclusive, em seu artigo, a companhia apontou que os criminosos poderiam também ter utilizado nomes como mailer.exe e turbomailer.exe para disfarçar o malware como um programa legítimo.
Sofisticação nos Ataques Cibernéticos
Segundo a pesquisa, o RansomHub tem crescido rapidamente desde sua primeira aparição, em fevereiro de 2024. O grupo se tornou a operação de ransomware mais ativa no terceiro trimestre de 2024. A gangue cibercriminosa foca em cobrar resgates mais caros das vítimas e um modelo de pagamento mais direto, que facilita sua lucratividade. Além disso, os especialistas apontaram as ferramentas frequentemente empregadas pelos afiliados do RansomHub.
Entre elas estão o Impacket (conjunto de scripts em Python para manipulação de protocolos de rede), Mimikatz (software de extração de credenciais do Windows), Rclone (aplicação de gerenciamento de arquivos em nuvem, usada para exfiltrar dados roubados) e ScreenConnect e TightVNC (Softwares legítimos de acesso remoto, frequentemente explorados para controle total das máquinas infectadas).
Como se Proteger?
A equipe de cibersegurança da Symantec recomendou que empresas reforcem suas estratégias de defesa cibernética para mitigar riscos de ataques deste ou outros grupos de ransomware.
Algumas medidas incluem a atualização de sistemas e softwares, para evitar vulnerabilidades conhecidas. Também apontou o monitoramento de acessos remotos, a fim de identificar atividades suspeitas e o uso de autenticação multifator para reduzir chances de invasões por roubo de credenciais.
