Fortinet analisa evolução de ransomware

Quinzenalmente, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT).

O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.

A última edição do Ransomware Roundup, referente ao mês de julho, destaca o Cl0p e Rancoz como os ataques de ransomware emergentes.

O Cl0p remonta ao início de 2019 e está normalmente associado a motivações financeiras com o autor de ameaça FIN11 (também conhecido por TA505 ou Snakefly), que é conhecido por visar organizações na América do Norte e na Europa.

Habitualmente, o FIN11 liberta o ransomware Cl0p na rede das vítimas para encriptar ficheiros depois de roubar informação.

A partir de 15 de julho de 2023, o serviço FortiRecon da Fortinet identificou 419 organizações vítimas no site Cl0p data leak.

De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo ransomware Cl0p atacou vários sectores da indústria entre janeiro e junho de 2023, desde serviços empresariais, seguidos por software e finanças.

Quando as organizações vítimas são classificadas por país, os Estados Unidos estão em primeiro lugar por uma margem significativa. Por região, quase três quartos das vítimas estão localizadas na América do Norte e na Europa. Saiba mais aqui.

Por seu lado, já passaram alguns meses desde que o ransomware Rancoz chamou a atenção do público pela primeira vez. No entanto, “é importante aumentar a consciencialização sobre esta variante de ransomware, uma vez que a vítima mais recente identificada no site data leak no TOR remonta a meados de junho”.

A primeira vítima registada do Rancoz, de acordo com o seu site no TOR, ocorreu em novembro de 2022. O modus operandi do Rancoz é semelhante ao de outros grupos, que consiste em encriptar ficheiros em máquinas comprometidas, roubar informações e extorquir dinheiro às vítimas.

Uma vez executado, o ransomware Rancoz enumera todas as drives locais e encripta os ficheiros, a menos que os atacantes especifiquem o contrário. Acrescenta uma extensão “.rec_rans” aos ficheiros e deixa uma nota de resgate com o nome “HOW_TO_RECOVERY_FILES.txt” [sic].