O Bucbi Ransomware Reaparece Usando Métodos de Força Bruta para se Espalhar pelas Redes Corporativas

O que foi definido pela primeira vez como uma ameaça de ransomware normal que criptografa arquivos em um computador infectado e solicita uma taxa de resgate para descriptografar os arquivos, foi atualizado para utilizar métodos de força bruta, a fim de se espalhar amplamente pelas redes corporativas. A ameaça Bucbi Ransomware foi trazida de volta dos mortos com várias atualizações que trazem ataques oportunistas a sistemas e aqueles localizados em ambientes corporativos.

A proliferação de ransomware atingiu um novo ponto alto, onde novas ameaças foram armadas com recursos avançados. No caso do Bucbi Ransomware, ele recebeu atualizações para atacar várias redes, especificamente entidades corporativas, por meio de portas RDP (Remote Desktop Protocol) abertas. Os incidentes recentes em que o Bucbi Ransomware foi utilizado para atacar redes através de portas RDP foram uma série de incidentes que a empresa de segurança Fox-IT relatou na semana passada, que acabou sendo uma estratégia para espalhar o ransomware para alvos de alto valor.

Os cibercriminosos são conhecidos por segmentar entidades de alto valor, pois geralmente são os mais lucrativos em um esquema que resulta em restituições de alto valor para suas atividades de hackers. Os hackers responsáveis por atualizar e espalhar o Bucbi Ransomware foram especulados como sendo da Ucrânia ou da Rússia. Até agora, o que apontou pesquisadores da equipe de pesquisa de segurança de Palo Alto é o código de ransomware que remonta ao ponto de origem russo. No entanto, a equipe da Palo Alto Networks identificou o grupo como o "setor de direita ucraniano", que é um partido político nacionalista ucraniano extremista, com operações paramilitares contra a Rússia.

Os principais recursos adicionados ao Bucbi Ransomware incluem sua capacidade de trabalhar sem a necessidade de conexão com um servidor de comando e controle on-line, o uso de uma notificação de resgate exclusiva e um método de instalação que conta com a invasão brutal de hackers nas redes corporativas, geralmente por meio de um abra o RDP. Os pesquisadores acreditam que o Bucbi Ransomware pode ser simplificado para instalação por meio de uma ferramenta chamada "RDP Brute (Coded by z668)".

Combinar a capacidade de se infiltrar em sistemas corporativos por meio de uma rede corporativa vulnerável tem sido uma tarefa comum muito antes da introdução de ameaças de ransomware. Embora, combinando a severidade do ransomware e sua abordagem agressiva para coletar dinheiro de usuários de computador vítimas de ataques de força bruta, o Bucbi Ransomware é um passo significativo para os cibercriminosos. Sozinho, as ameaças de ransomware já estavam entre os malwares mais perigosos do mercado, o Bucbi Ransomware é uma prova do conceito de grupos de crimes cibernéticos que passam para o próximo nível para ajustar suas estratégias para aproveitar as fraquezas descobertas.

O tempo será decisivo se ameaças como o Bucbi Ransomware prevalecerem. Se o fizerem, o Bucbi Ransomware e ameaças semelhantes serão outro ângulo de ataque que os cibercriminosos podem usar para se infiltrar nas empresas com sucesso e exigir altos pagamentos de resgate para adicionar à abordagem oportunista de hackers famintos por dinheiro.