IBM X-Force revelou que os grupos de ransomware Rhysida e Interlock operam na mesma cadeia de suprimentos de ciberataques, compartilhando infraestrutura de corretores de acesso inicial e crypters privados. A análise de longo prazo mostrou que ambos os grupos usam ferramentas como downloaders e backdoors comuns para preparar cadeias de intrusão antes da criptografia de dados. Organizações devem fortalecer defesas contra acesso inicial e implementar detecção comportamental para mitigar esse ecossistema de crime como serviço.
Cadeia de suprimentos compartilhada
Rhysida e Interlock não apenas reutilizam código, mas operam dentro do mesmo ecossistema de ransomware. A IBM identificou conexões diretas entre ambos os grupos e corretores de acesso inicial (IABs), que fornecem entrada inicial em redes corporativas comprometidas. Os grupos também compartilham crypters privados, ferramentas que ofuscam malware para evadir detecção por antivírus. Esse modelo de negócios permite que operações menores tenham acesso a recursos sofisticados sem precisar desenvolver ferramentas internamente, criando um ecossistema de crime como serviço altamente eficiente e difícil de rastrear.
Componentes de ataque compartilhados
A tabela abaixo mostra os principais componentes que Rhysida e Interlock compartilham em suas operações:
| Componente | Função | Risco |
|---|---|---|
| Corretores de acesso inicial (IABs) | Fornecem entrada em redes corporativas | Comprometimento inicial |
| Crypters privados | Ofuscam malware para evadir antivírus | Deteção por assinaturas |
| Downloaders | Recuperam e executam cargas maliciosas | Execução remota |
| Backdoors | Permitem persistência no sistema | Controle contínuo |
Infraestrutura de ataque
Os downloaders e backdoors usados por Rhysida e Interlock servem como ponte entre o acesso inicial e a carga final de ransomware. Downloaders são programas que recuperam e executam cargas maliciosas de servidores remotos, enquanto backdoors permitem persistência no sistema comprometido. Esses componentes permitem que os atacantes mantenham controle mesmo após a execução do ransomware, facilitando extorsão adicional ou movimentação lateral na rede. O uso de ferramentas compartilhadas sugere um ecossistema onde operações de ransomware podem terceirizar partes de suas cadeias de ataque para fornecedores especializados.
Riscos para organizações
Organizações alvo de ransomware moderno enfrentam ameaças de múltiplos grupos operando dentro do mesmo ecossistema, cada um com táticas ligeiramente diferentes mas ferramentas subjacentes compartilhadas. Isso significa que mitigações contra um grupo podem ser parcialmente eficazes contra outros. A proteção deve focar em camadas de defesa em profundidade, incluindo segmentação de rede, monitoramento contínuo de comportamentos anômalos e backups isolados e imutáveis. Detecção de comportamento ao invés de assinaturas específicas é crucial, pois as ferramentas usadas mudam frequentemente. Implementar autenticação multifator em todos os acessos remotos e restringir privilégios administrativos reduz significativamente o risco de comprometimento inicial.