Pesquisadores descobriram uma nova gangue de ransomware chamada ‘Muliaka’ atacando empresas russas. Essa gangue, anteriormente desconhecida, tem utilizado um malware baseado no código-fonte vazado do grupo de ransomware Conti. Batizada de “Muliaka”, a gangue deixou poucos rastros de seus ataques, mas provavelmente está ativa desde pelo menos dezembro de 2023.
Em um incidente ocorrido em janeiro, os cibercriminosos atacaram uma empresa russa não identificada, criptografando seus sistemas Windows e infraestrutura virtual VMware ESXi. Para acessar remotamente a infraestrutura de TI da vítima, os atacantes utilizaram o serviço de rede virtual privada (VPN) da empresa. Para infectar a rede-alvo com ransomware, os atacantes o disfarçaram como software antivírus corporativo popular instalado nos computadores da empresa.
Ao contrário do malware original do Conti, o desenvolvido pela Muliaka, vem de um e-mail de phishing enviado pelo grupo, que termina processos no computador da vítima e interrompe determinados serviços do sistema antes de iniciar a criptografia de arquivos, de acordo com a análise. Os pesquisadores afirmaram que a variante da Muliaka foi uma das atualizações mais interessantes entre outras ferramentas maliciosas criadas após o vazamento do Conti.