This post is also available in: Português
Uma nova organização de crimes cibernéticos apareceu na darkweb. O grupo se autodenomina RansomHouse, e está tentando conquistar um nicho do mercado de extorsão cibernética atacando organizações, roubando seus dados e oferecendo-se para excluí-los e fornecer um relatório completo sobre como e quais vulnerabilidades foram exploradas no processo. Claro, tudo isso por um preço.
A nova operação afirma não utilizar nenhum ransomware. Em vez disso, se concentra em violar redes por meio de supostas vulnerabilidades para roubar os dados de um alvo.
Porém, eles não assumem a responsabilidade por suas ações. Em vez disso, eles culpam as empresas por não proteger adequadamente sua rede.
Em sua página, no item ‘sobre nós’, os responsáveis pelo RansomHouse escreveram:
“Acreditamos que os culpados não são aqueles que encontraram a vulnerabilidade ou realizaram o hack, mas sim aqueles que não cuidaram adequadamente da segurança. Os culpados são aqueles que não colocaram uma fechadura na porta, deixando-a aberta, convidando a todos para entrar.
As pessoas são inerentemente curiosas e estão ansiosas para aprender sobre assuntos do interesse. Normalmente, as corporações respondem à mensagem de que suas “portas estão escancaradas”, de maneira negativa ou permanecendo em silêncio. Em casos raros, reconhecimento e pagamentos ridiculamente pequenos, que não cobrem nem 5% dos esforços de um entusiasta”.
Segundo pesquisadores da Cyberint, de acordo com o que eles afirmam, o único objetivo da RansomHouse não é agir como outro grupo de ransomware, mas sim atuar como um grupo de pentest/bug bounty que força seus serviços a quem não leva a segurança organizacional a sério o suficiente.
Os pesquisadores não viram relatório sendo enviado para nenhuma vítima, mas eles assumem que, no estágio em que estão, o grupo tenta construir uma reputação confiável para que o mercado acredite assim que a negociação for bem-sucedida, os relatórios serão entregues.
Extorsão de dados incomum
Acredita-se que o RansomHouse tenha sido lançado em dezembro de 2021, com sua primeira vítima sendo, supostamente, a Saskatchewan Liquor and Gaming Authority (SLGA), que agora está listada no site de extorsão.
Desde o lançamento do site, neste mês, os cibercriminosos adicionaram outras três vítimas, sendo a mais recente um provedor de serviços de suporte aéreo alemão, atacado na semana passada.
Curiosamente, o RansomHouse lista URLs para postagens de mídia para vítimas que ainda são extorquidas ativamente, destacando a publicidade de seus ataques e usando-a como um método adicional de extorsão.
O grupo afirma que não criptografa os dados das organizações, apenas os rouba e prometem excluí-los se forem pagos.
Se as vítimas não pagarem um resgate aos cibercriminosos, seus dados serão vendidos para outros cibercriminosos. Se ninguém estiver interessado em compra-los, o conjunto de dados roubado é publicado no site Tor.
A história do RansomHouse
O grupo foi mencionado pela primeira vez nas notas de resgate do White Rabbit, mas os atores disseram que apenas colaboraram com o grupo de ransomware e não fizeram uso dele.
No relatório da Cyberint, os analistas encontraram postagens promovendo o RansomHouse no canal do Telegram do grupo Lapsus$. Isso indica que os cibercriminosos estão igualmente interessados em vender dados para outros cibercriminosos, bem como para as vítimas.
RansomHouse postando no Lapsus Telegram. Fonte: Cyberint
Embora as origens do RansomHouse sejam desconhecidas no momento, o grupo não emergiu como uma entidade completamente independente, mas sim de outros grupos de ameaças.
A Cyberinto examinou extensivamente as comunicações dos principais membros da RansomHouse com outros cibercriminosos nos canais do Telegram, e relatou ter visto conduta profissional.
No relatório, os especialistas explicam que eles falam educadamente em seu blog e em vários canais do Telegram, e não são arrastados para discussões irrelevantes. Além disso, eles afirmam ser muito liberais e pró-liberdade. Eles não querem misturar negócios e política e anunciaram que nunca trabalhariam com hacktivistas radicais ou grupos de espionagem.
Com isso, os analistas da Cyberint acreditam que o RansomHouse é um projeto lançado por pentesters descontentes da Red Team, que estão fartos de baixos pagamentos de recompensas e mau planejamento de segurança cibernética em geral.
Até o momento, essa nova operação é pequena e conta com apenas quatro vítimas. É duvidoso que o RansomHouse se torne um perigo em grande escala em breve, mas o lançamento de qualquer portal de extorsão deve ser uma preocupação para todos os administradores de rede e segurança.
Fonte: Cyberint.
This post is also available in: Português
