Fortinet lança o mais recente relatório sobre a evolução do ransomware: Cl0p e Rancoz

Fortinet lança o mais recente relatório sobre a evolução do ransomware: Cl0p e Rancoz

Quinzenalmente, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.

A última edição do Ransomware Roundup, referente ao mês de julho, destaca o Cl0p e Rancoz como os ataques de ransomware emergentes. No que consistem, qual o impacto, como funcionam e quem são as principais vítimas?

Cl0p

o Visão geral

A história do ransomware Cl0p remonta ao início de 2019 e está normalmente associada a motivações financeiras com o ator de ameaça FIN11 (também conhecido por TA505 ou Snakefly), que é conhecido por visar organizações na América do Norte e na Europa. Habitualmente, o FIN11 liberta o ransomware Cl0p na rede das vítimas para encriptar ficheiros depois de roubar informação.

Numa determinada fase das suas operações, o grupo FIN11 adaptou a estratégia de implementação do ransomware e passou a dedicar-se exclusivamente à exfiltração de informações das vítimas para fins de extorsão. As variantes implementadas do ransomware Cl0p acrescentam uma nova extensão aos ficheiros que encriptam – as extensões incluem, mas não estão limitadas a, ".Clop", ".Cl0p", ".C_L_O_P", ".C_I_0P" e ".Cllp".

As notas de resgate do ransomware Cl0p são intituladas como "ClopReadMe.txt", "README_README.txt" e "!!!_READ_!!!.RTF", sendo que o Cl0p está também associado ao uso de ferramentas de post-exploitation Cobalt Strike, web shells como DEWMODE e LEMURLOOT, SDBot e o FlawedAmmyy remote access trojan (RAT). O FIN11 também é conhecido por usar spear-phishing para atingir as vítimas. Recentemente, o FIN11 aproveitou a vulnerabilidade de SQL injection do MOVEit Transfer (CVE-2023-34362) para conseguir iniciar o acesso às redes das vítimas.

o Prevalência

A partir de 15 de julho de 2023, o serviço FortiRecon da Fortinet identificou 419 organizações vítimas no site Cl0p data leak.

De acordo com os dados recolhidos através do serviço FortiRecon da Fortinet, o grupo ransomware Cl0p atacou vários sectores da indústria entre janeiro e junho de 2023, desde serviços empresariais, seguidos por software e finanças. Quando as organizações vítimas são classificadas por país, os Estados Unidos estão em primeiro lugar por uma margem significativa. Por região, quase três quartos das vítimas estão localizadas na América do Norte e na Europa. Saiba mais aqui.

Rancoz

o Visão Geral

Passaram apenas alguns meses desde que o ransomware Rancoz chamou a atenção do público pela primeira vez. No entanto, é importante aumentar a consciencialização sobre esta variante de ransomware, uma vez que a vítima mais recente identificada no site data leak no TOR remonta a meados de junho.

A primeira vítima registada do Rancoz, de acordo com o seu site no TOR, ocorreu em novembro de 2022. O modus operandi do Rancoz é semelhante ao de outros grupos, que consiste em encriptar ficheiros em máquinas comprometidas, roubar informações e extorquir dinheiro às vítimas.

o Vetor de infeção

Não estão atualmente disponíveis informações sobre o vetor de infeção utilizado pelo agente da ameaça ransomware Rancoz. No entanto, não é provável que seja significativamente diferente de outros grupos de ransomware.

o Execução

Uma vez executado, o ransomware Rancoz enumera todas as drives locais e encripta os ficheiros, a menos que os atacantes especifiquem o contrário. Acrescenta uma extensão ".rec_rans" aos ficheiros e deixa uma nota de resgate com o nome "HOW_TO_RECOVERY_FILES.txt" [sic]. Adicionalmente, o ransomware elimina as cópias ocultas executando o comando "/c vssadmin.exe Delete Shadows /All /Quiet", o que dificulta a recuperação dos ficheiros. Em seguida, elimina o registo "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default\" enquanto repõe o registo "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\". A remoção destas chaves de registo pode impedir as vítimas de se ligarem a servidores remotos para recuperação de ficheiros.

o Vitimologia

Na altura da nossa investigação, o grupo de ransomware Rancoz tinha três vítimas de diferentes sectores identificadas no seu site de data leak. Duas vítimas estão nos EUA e a outra está no Canadá. Saiba mais aqui.