Grande reformulação de vendas e operações leva a muito mais atividade… para a gangue de ransomware Meow
O grupo de ransomware Meow conquistou o segundo lugar entre as gangues mais ativas em um aumento inesperado de atividade após uma grande reformulação da marca.
O Meow surgiu em março deste ano como um dos quatro principais desdobramentos do Conti, mas não decolou da mesma forma que seu antecessor, ficando consistentemente atrás de grupos como o LockBit e, mais recentemente, o RansomHub.
De acordo com o resumo de agosto da Check Point no mundo do crime cibernético, a Meow foi responsável por nove por cento de todos os ataques globais de ransomware, o que a coloca à frente de quase todos os rivais, exceto a RansomHub, que está se mostrando a substituta do LockBit que ninguém pediu, conquistando fatias de seu mercado e antigas afiliadas.
No entanto, de acordo com as últimas informações, parece que o Meow está dando uma de Cl0p – focando menos em criptografar os arquivos das vítimas e indo direto para o roubo de dados.
O grupo começou como uma operação típica de ransomware como serviço (RaaS), mas desde então decidiu optar por métodos de extorsão pura – simplesmente vendendo os dados que rouba de intrusões.
Os dados de cada vítima agora têm dois preços atrelados a eles. Pague um preço para acessar os dados, embora qualquer outra pessoa também possa pagar o mesmo e obter acesso aos mesmos arquivos. Há também uma opção para pagar uma taxa muito maior, às vezes o dobro, às vezes o triplo ou o quádruplo, para receber acesso “exclusivo” aos dados – claramente os criminosos podem mentir sobre isso – que são então “removidos” do site de vazamento que serve como mercado de dados do Meow.
Os preços não exclusivos geralmente variam entre US$ 4.000 e US$ 10.000, embora alguns anúncios recentes tenham registrado preços tão baixos quanto US$ 150 e tão altos quanto US$ 40.000.
Vender dados em vez de extorquir vítimas foi visto no passado como uma tática de último recurso em vez de um modus operandi primário. O ataque do RansomHub à casa de leilões Christie’s no início deste ano acabou resultando na suposta venda dos dados a um licitante em vez de vazamento. No entanto, especialistas na época disse este leilão provavelmente não foi o sucesso que os criminosos esperavam.
Mais ataques ativos… mas a nova tática funcionará?
O ransomware normalmente vê arquivos criptografados, vítimas extorquidas por um pagamento de resgate e, se esse pagamento não for feito, os dados são vazados gratuitamente para o público. Isso mostra que o grupo realmente tinha os dados que alegou ter roubado.
Vender esses dados para licitantes privados é um processo mais opaco que, por sua própria natureza, significa que o público nunca verá uma prova definitiva de que os dados foram realmente roubados. Claro, os compradores saberiam, e se Meow estivesse mentindo, isso seria rapidamente descoberto e sua reputação ficaria em frangalhos.
Comentando sobre o potencial sucesso dessa tática, Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, lançou dúvidas sobre sua lucratividade.
“Neste momento, não temos certeza se é uma jogada lucrativa ou orientada para relações públicas/marketing”, disse ele. O Registro“Provavelmente isso foi feito para se diferenciar de outros grupos e aplicar mais pressão sobre as vítimas para que pagassem.
“Duvidamos que seja realmente lucrativo, pois em muitos casos as informações das vítimas são vendidas, o que não é extremamente lucrativo e não pode ser acionado por outros agentes de ameaças.”
Já faz algum tempo desde que vimos um grande desenvolvimento na metodologia de ransomware. A última grande inovação foi, sem dúvida, o aumento da extorsão dupla e, talvez em menor grau, a tendência de relatar vítimas a reguladores nacionais à la ALPHV/Gato Preto e mais recentemente Cicada3301. Não está claro se essa mudança funcionará para Meow a longo prazo.
Um vilão mantém o primeiro lugar, enquanto outro se recusa a desistir
Em outras partes do mundo cibernético, o RansomHub continua seu reinado no topo do ranking, reivindicando 15% de todos os ataques globais em agosto, segundo números da Check Point.
O RansomHub surgiu como a nova marca líder de ransomware, substituindo o LockBit e o ALPHV/BlackCat, que antes disputavam o comando.
“No mês passado, o RansomHub consolidou sua posição como a principal ameaça de ransomware, conforme detalhado em um assessoria conjunta do FBI, CISA, MS-ISAC e HHS”, disse a Check Point. “Esta operação RaaS tem como alvo agressivo sistemas em ambientes Windows, macOS, Linux e especialmente VMware ESXi, usando técnicas de criptografia sofisticadas.
“A emergência do RansomHub como a maior ameaça de ransomware em agosto ressalta a crescente sofisticação das operações de ransomware como serviço. As organizações precisam estar mais vigilantes do que nunca.”
O grupo é amplamente suspeito de ser uma reformulação da antiga operação Knight recrutou os afiliados que costumavam exercer seu ofício para a velha guarda e que estavam procurando um novo lar depois que ambos desapareceram.
Bem, “nada” pode ser um pouco exagerado. Esse é certamente o caso do ALPHV/BlackCat, que fez um exit-scam para sair da cena do ransomware após o ataque em Mudança de Assistência Médicaembora Cigarra3301 parece trazer as características de uma possível reformulação da marca aqui.
No entanto, de acordo com a Check Point, o LockBit ainda está persistindo, apesar da operação estar em grande parte dilacerado pela aplicação da lei nos últimos meses.
Em 8% de todos os ataques em agosto, a cepa de ransomware LockBit 3 foi responsável. Isso pode não ser uma grande surpresa, já que o construtor vazou anos atrás e tem sido usado por todos os tipos de criminosos que buscam ganhar dinheiro rápido. Fique tranquilo, porém, a operação continua em grande parte prejudicada e seus afiliados fugiram para melhores oportunidades em programas RaaS rivais. ®
