RansomHub utiliza novo backdoor para sofisticar ataques, aponta monitoramento

No artigo formulado pelo time de inteligência de Ameaças da Symantec, os especialistas explicam que o novo malware foi desenvolvido para facilitar a entrada de criminosos em redes comprometidas e reforçar ataques de sequestro de dados

Compartilhar:

O grupo de cibercriminosos por trás do RansomHub, uma das operações de ransomware mais ativas do mundo, passou a utilizar uma nova ferramenta personalizada para ataques. Segundo a Symantec, o backdoor chamado Betruger foi identificado em recentes invasões e representa uma ameaça crescente para empresas e instituições.

 

O novo malware

Diferente da maioria dos grupos de ransomware, que costumam utilizar ferramentas de código aberto e softwares legítimos para comprometer sistemas, os hackers o investiram no desenvolvimento de um backdoor multifuncional capaz de capturar telas, registrar teclas digitadas, executar escaneamento de redes, roubar credenciais de acesso e enviar arquivos para servidores controlados pelos criminosos.

 

Além disso, a Symantec informou que o malware foi projetado para operar de forma discreta, evitando a detecção por sistemas de segurança convencionais. Inclusive, em seu artigo, a companhia apontou que os criminosos poderiam também ter utilizado nomes como mailer.exe e turbomailer.exe para disfarçar o malware como um programa legítimo.

 

 Sofisticação nos Ataques Cibernéticos

Segundo a pesquisa, o RansomHub tem crescido rapidamente desde sua primeira aparição, em fevereiro de 2024. O grupo se tornou a operação de ransomware mais ativa no terceiro trimestre de 2024. A gangue cibercriminosa foca em cobrar resgates mais caros das vítimas e um modelo de pagamento mais direto, que facilita sua lucratividade. Além disso, os especialistas apontaram as ferramentas frequentemente empregadas pelos afiliados do RansomHub.

 

Entre elas estão o Impacket (conjunto de scripts em Python para manipulação de protocolos de rede), Mimikatz (software de extração de credenciais do Windows), Rclone (aplicação de gerenciamento de arquivos em nuvem, usada para exfiltrar dados roubados) e ScreenConnect e TightVNC (Softwares legítimos de acesso remoto, frequentemente explorados para controle total das máquinas infectadas).

 

Como se Proteger?

A equipe de cibersegurança da Symantec recomendou que empresas reforcem suas estratégias de defesa cibernética para mitigar riscos de ataques deste ou outros grupos de ransomware.

 

Algumas medidas incluem a atualização de sistemas e softwares, para evitar vulnerabilidades conhecidas. Também apontou o monitoramento de acessos remotos, a fim de identificar atividades suspeitas e o uso de autenticação multifator para reduzir chances de invasões por roubo de credenciais.

 

Conteúdos Relacionados

Security Report | Overview

Qual o impacto transformador da IA Agêntica nos SOCs?

A IA é cada vez mais usada por adversários em campanhas de engenharia social. Ao mesmo tempo, ataques a ambientes...
Security Report | Overview

Serpro entrega Segurança de dados e infraestrutura digital para a Cúpula do BRICS

Estatal de inteligência em governo digital garante credenciamento, proteção de dados e suporte tecnológico no encontro que reúne autoridades de...
Security Report | Overview

Maiores desafios das PMEs em Cibersegurança são ransomware, IA e conectividade, alerta análise

Os especialistas destacam como a combinação de conectividade avançada e cibersegurança pode proteger e impulsionar pequenos negócios na era da...
Security Report | Overview

Estudo detecta grupo de espionagem focado em governo, tecnologia e manufatura no Brasil

A ISH Tecnologia publica análise sobre arsenal cibernético usado por grupo ligado ao Estado chinês