Ransomware Underground é uma ameaça emergente

A FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.

A última edição do Ransomware Roundup, referente ao mês de agosto, destaca o Underground como o ataque de ransomware emergente. As primeiras amostras do ransomware Underground submetidas à análise foram verificadas de julho de 2023, num serviço de verificação de ficheiros disponível ao público. Este facto coincide aproximadamente com o momento em que foi conhecida a primeira vítima após publicação num site de data leak, a 13 de julho de 2023.

Tal como a maioria do ransomware, o ataque passa pela encriptação de ficheiros nos computadores Windows, que posteriormente passa a exigir um resgate para os desencriptar.

Relatórios recentes indicam que o grupo RomCom, com sede na Rússia, também conhecido como Storm-0978, está a implementar o ransomware Underground. Este grupo de ameaças é conhecido por explorar o CVE-2023-36884 (Microsoft Office and Windows HTML RCE Vulnerability), que pode ser o vetor de ataque para o ransomware. O grupo pode utilizar outros vetores de ataque comuns, como o email ou comprando o acesso inicial através de um Broker Intermediário (IAB).

O ransomware Underground utiliza um espaço próprio para publicar informações sobre as vítimas, incluindo dados roubados. Atualmente este site tem listadas 16 vítimas, maioritariamente dos Estados Unidos da América, Alemanha, Espanha, França, Coreia do Sul, Taiwan, Singapura e Canadá, tendo a mais recente sido publicada a 3 de julho de 2024.