Ransomware como Serviço (RaaS)
Pesquisadores de segurança cibernética detalharam as táticas de uma gangue cibercriminosa “em ascensão” chamada “Read The Manual” (RTM) Locker, que funciona como um provedor privado de ransomware como serviço (RaaS) e realiza ataques oportunistas para gerar lucro ilícito.
“A gangue ‘Read The Manual’ Locker usa afiliados para resgatar vítimas, todos os quais são forçados a cumprir as regras estritas da gangue”, disse a empresa de segurança cibernética Trellix em um relatório compartilhado com o The Hacker News.
“A configuração empresarial do grupo, em que os filiados são obrigados a permanecer ativos ou avisar a gangue sobre sua saída, mostra a maturidade organizacional do grupo, como também foi observado em outros grupos.
O RTM , documentado pela primeira vez pela ESET em fevereiro de 2017, começou em 2015 como um malware bancário direcionado a empresas na Rússia por meio de downloads drive-by, spam e e-mails de phishing. Desde então, as cadeias de ataque montadas pelo grupo evoluíram para implantar uma carga útil de ransomware em hosts comprometidos.
Trellix disse ao The Hacker News que não há relação entre o Quoter e o executável ransomware RTM Locker usado nos ataques mais recentes.
Uma característica fundamental do agente da ameaça é sua capacidade de operar nas sombras, evitando deliberadamente alvos de alto perfil que possam chamar a atenção para suas atividades.
Suspeita-se que o locker seja executado em redes que já estão sob controle dos cybercriminosos, indicando que os sistemas podem ter sido comprometidos por outros meios, como ataques de phishing, spam ou exploração de servidores vulneráveis expostos à internet.
O agente da ameaça, como outros grupos RaaS, usa técnicas de extorsão para obrigar as vítimas a pagar. A carga útil, por sua vez, é capaz de elevar privilégios, encerrar antivírus e serviços de backup e excluir cópias antes de iniciar seu procedimento de criptografia.
Ele também foi projetado para esvaziar a Lixeira para evitar a recuperação, alterar o papel de parede, limpar logs de eventos e executar um comando de shell que autoexclui o malware como última etapa.
Entenda o que é o ransomware e como funciona esse tipo de ataque hacker:
8 thoughts on “RaaS Ransomware como Serviço: Grupo cybercriminoso vende provedor de malware”
Comments are closed.