top of page
Banner 1920x240.png

Mercado Financeiro

Dolar - R$ 5,61 (atualizado em 13/05/2025 às 23:05h)

Euro - R$ 6,27 (atualizado em 13/05/2025 às 23:05h)

Bitcoin - 581.612,16 (atualizado em 13/05/2025 às 23:05h)

Ibovespa - 138.963,11 pontos - +2.399,92 (1,76%) (atualizado em 13/05/2025 às 23:05h)

Grupo de ransomware desaparece sem deixar pistas

  • Foto do escritor: Fabio Sanches
    Fabio Sanches
  • 4 de mai.
  • 2 min de leitura

A infraestrutura online do RansomHub está fora do ar desde 1º de abril de 2025, sem qualquer explicação oficial. O grupo, considerado um dos mais ativos do cenário de ransomware, publicou recentemente uma estrutura descentralizada, mas sua súbita ausência gerou preocupação entre parceiros e migração para concorrentes. A Group-IB aponta aumento de atividade na plataforma Qilin desde fevereiro, sugerindo um possível redirecionamento dos antigos afiliados do RansomHub.


Ativo desde fevereiro de 2024, o RansomHub se destacou por seu modelo financeiro flexível e por um criptografador multiplataforma baseado no código do projeto Knight. O malware operava em sistemas Windows, Linux, FreeBSD e ESXi, com suporte a arquiteturas x86, x64 e ARM. As campanhas evitavam alvos em países da CEI, além de Cuba, Coreia do Norte e China. Os ataques também envolviam o malware SocGholish, distribuído via sites WordPress comprometidos.


O grupo havia implementado recursos como painel de controle com customização e contas individuais, além de um módulo para desativar proteções, posteriormente descontinuado. Em novembro, passou a proibir ataques a instituições governamentais. Contudo, problemas técnicos e disputas internas geraram rupturas. A GuidePoint Security destaca que o grupo DragonForce anunciou no fórum RAMP a formação do DragonForce Ransomware Cartel, absorvendo afiliados do RansomHub.


Outros atores do mercado seguiram caminhos semelhantes. A BlackLock, antes atacada pela DragonForce, agora colabora com o cartel. A Secureworks CTU observa que o DragonForce oferece infraestrutura e ferramentas sem impor malware próprio, permitindo que afiliados criem suas próprias marcas.


Enquanto isso, novos grupos ganham espaço. O Anubis, surgido em fevereiro, evita criptografia e usa vazamentos de dados como chantagem. A variante ELENOR-corp, baseada no Mimic, tem como alvo o setor de saúde. O CrazyHunter utiliza a ferramenta ZammoCide para contornar proteções, enquanto o Elysium desativa serviços e backups. O FOG distribui arquivos ZIP maliciosos disfarçados como conteúdo de agências dos EUA. O Hellcat explora falhas no Atlassian Jira. Já o Interlock e o Hunters International adotam modelos voltados à exfiltração e vazamento de dados.


Mesmo após a queda de grandes nomes como LockBit, o ecossistema do ransomware continua ativo e em transformação, sinalizando a necessidade de estratégias de defesa mais flexíveis e adaptáveis.


Comments

bottom of page