Gangues de ransomware evoluem com novos modelos de afiliados para atrair criminosos cibernéticos
O cenário de ransomware continua a evoluir rapidamente, e pesquisas recentes da Secureworks revelam que os cibercriminosos estão adotando uma abordagem mais corporativa em relação ao crime cibernético. Dois grupos de ransomware, DragonForce e Anubis, agora oferecem programas de afiliados expandidos que imitam estruturas comerciais legítimas — completos com ofertas de serviços, flexibilidade de marca e sistemas de suporte.
Esses desenvolvimentos marcam uma tendência preocupante no mundo do ransomware como serviço (RaaS), um modelo que já tornou assustadoramente fácil para invasores menos qualificados lançar campanhas devastadoras de ransomware.
Table of Contents
DragonForce se transforma em um cartel do crime cibernético
A DragonForce, uma operação RaaS que surgiu em agosto de 2023, recentemente se renomeou como "cartel", em um movimento que destaca sua mudança para uma estrutura mais descentralizada. De acordo com a Unidade de Contra-Ameaças (CTU) da Secureworks, o grupo agora oferece um modelo de afiliados exclusivo que permite que os cibercriminosos criem suas próprias marcas de ransomware.
Em vez de exigir que os afiliados usem seu ransomware, a DragonForce oferece acesso à sua infraestrutura — incluindo painéis de administração e de clientes, ferramentas de criptografia, sistemas de negociação de resgate, soluções de armazenamento de dados, um site de vazamento baseado em Tor e suporte ao cliente. Essa flexibilidade é atraente para invasores que possuem seu próprio malware, mas precisam de ajuda com logística, infraestrutura ou interação com as vítimas.
Embora esse modelo possa atrair uma gama maior de cibercriminosos, ele também apresenta riscos. Se uma afiliada for comprometida, outras conectadas à infraestrutura compartilhada também podem ser expostas, potencialmente desvendando redes inteiras de ataques coordenados.
Anubis oferece três tipos de parcerias contra ransomware
A Anubis, outra operadora de RaaS, também está inovando ao introduzir três modelos distintos de afiliados. Cada um oferece um caminho diferente para criminosos que buscam monetizar ataques:
- Uma configuração RaaS clássica, com afiliados ficando com 80% dos pagamentos de resgate.
- Um modelo de "resgate de dados" em que análises detalhadas das vítimas são publicadas em um site protegido por senha para pressioná-las a pagar.
- Um modelo de “monetização de acesso” que ajuda afiliados a extorquir vítimas previamente comprometidas, oferecendo 50% do valor do resgate.
O método de resgate de dados se destaca por sua semelhança com uma forma de marketing de conteúdo criminoso. Os operadores do Anubis publicam um "artigo investigativo" sobre os dados roubados da vítima e o compartilham com ela em particular, alertando que a falta de pagamento resultará na divulgação das informações. Eles até usaram a presença nas redes sociais para aumentar a pressão e ameaçar divulgá-las a clientes e órgãos reguladores.
Operadores de ransomware agora operam como empresas
Esses modelos de afiliados demonstram que os grupos modernos de ransomware estão cada vez mais operando como empresas legítimas. Desde oferecer suporte técnico até permitir a personalização da marca, as estratégias são projetadas para atrair uma gama mais ampla de possíveis invasores. De fato, a oferta da DragonForce se assemelha bastante a um provedor de serviços gerenciados — exceto pela legalidade.
De acordo com Rafe Pilling, Diretor de Inteligência de Ameaças da Secureworks, os defensores devem começar a enxergar as gangues de ransomware como entidades comerciais. Esses agentes de ameaças se adaptam rapidamente, buscando receita e reagindo a mudanças no ecossistema do crime cibernético, incluindo repressões policiais e redução do pagamento de resgates.
Como as organizações podem permanecer protegidas
Com a barreira de entrada para ataques de ransomware caindo ainda mais, as organizações precisam tomar medidas proativas para fortalecer suas defesas. A CTU da Secureworks recomenda as seguintes medidas de segurança:
- Aplique patches regularmente nos sistemas voltados para a Internet
- Implementar autenticação multifator resistente a phishing
- Mantenha backups seguros e offline de dados críticos
- Monitore endpoints e redes em busca de comportamento incomum
- Desenvolver e testar um plano detalhado de resposta a incidentes
A crescente sofisticação das gangues de ransomware e seus modelos afiliados representa uma ameaça crescente à segurança cibernética global. Entender como essas operações funcionam — e se preparar para elas como se prepararia para um concorrente corporativo astuto — pode ser a chave para se manter um passo à frente.
