Lockbit, BlackCat e Royal dominam a cena do cibercrime

Um ecossistema em franca evolução, cada vez mais sofisticado e com novos players e esquemas de infiltração e extorsão.

Assim é o mundo do cibercrime quando se trata de quadrilhas de ransomware – que em 2022 promoveram quase 16 milhões de ataques a empresas, segundo avança a Trend Micro.

Os pesquisadores da empresa de cibersegurança, analisaram a atividade dos hackers e concluíram que três famílias dominaram o cenário mundial: LockBit, BlackCat e Royal, grupo dissidente do Conti, um dos mais agressivos dos últimos anos.

Um olhar atento aos sites de vazamento dos grupos de ransomware (aqueles que publicam ataques a empresas que foram comprometidas com sucesso, mas se recusaram a pagar o resgate) mostra que as organizações sediadas nos Estados Unidos foram as mais atingidas por esse tipo de ataque, no último trimestre de 2022, representando 42% do total de vítimas.

Os golpes também afetaram vários países europeus, como o Reino Unido e a Alemanha, além do Brasil.

LockBit foi o provedor de Ransomware as a Service (RaaS) mais ativo no período, o que reforça as descobertas dos relatórios divulgados no primeiro, segundo e terceiro trimestres de 2022.

BlackCat, por outro lado, “tirou da manga novos truques de extorsão, incluindo a falsificação de identidade do site de uma vítima com o objetivo de utilizá-la para publicar dados roubados na web”.

Já o grupo Royal combinou técnicas antigas e novas para acessar seus alvos, “sugerindo um amplo conhecimento da cena do ransomware”, diz a Trend Micro.

LockBit foi o grupo mais proeminente em 2022, mantendo firmemente o primeiro lugar de janeiro a dezembro. Arrematou mais de um terço das organizações atacadas no primeiro (35,8%), segundo (34,9%) e terceiro (32,9%) trimestres, embora sua ação tenha caído significativamente no último trimestre do ano (22,3%). Dos ataques no quarto trimestre, 11,7% foram da BlackCat e 10,7% atribuídos à Royal.

Antes de se despedir do ano, a BlackCat “comprometeu uma organização no setor de serviços financeiros usando uma criativa tática de extorsão para punir as vítimas por não atenderem às demandas de resgate”.

Os operadores da BlackCat também abusaram de uma conta do Telegram para promover sua nova oferta de RaaS: um Log4J Auto Exploiter pré-embalado.

Vários ataques do grupo Royal foram vistos em 2022 principalmente contra organizações nos EUA e no Brasil. O uso de phishing de retorno de chamada para enganar as vítimas e fazer com que elas instalem malware na área de trabalho remota permite que a contaminação das máquinas com o mínimo esforço”, diz ainda a Trend Micro.

O estudo sobre as principais famílias de ransomware é baseado em dados de sites de vazamento de RaaS de grupos de extorsão, na pesquisa de inteligência de código aberto (OSINT/ Open Source Intelligence) da Trend Micro e informações da plataforma Trend Micro Smart Protection Network.