Duas campanhas recentes, protagonizadas pelos grupos Clop e RansomHouse, evidenciam esta evolução contínua.

O grupo Clop (ou Cl0p), conhecido por explorar vulnerabilidades em plataformas de transferência de ficheiros, iniciou uma nova campanha de extorsão visando servidores Gladinet CentreStack expostos na internet. O CentreStack é uma solução utilizada por milhares de empresas para partilha segura de ficheiros, tornando-se um alvo de elevado valor. Ao comprometer estes servidores, o Clop consegue aceder e exfiltrar dados sensíveis de múltiplas organizações de uma só vez, seguindo a sua estratégia de extorsão dupla, onde ameaça publicar os dados roubados caso o resgate não seja pago.

Este ataque segue o padrão de campanhas anteriores bem-sucedidas do grupo, como a que explorou a vulnerabilidade no MOVEit Transfer, demonstrando a sua especialização em identificar e explorar falhas em software de nicho, mas amplamente utilizado no mundo empresarial.

Por outro lado, o grupo RansomHouse atualizou significativamente o seu arsenal com uma nova variante de encriptador, apelidada de "Mario" pela Palo Alto Networks Unit 42. Esta nova ferramenta abandona as técnicas de encriptação linear, mais simples de reverter, por métodos de encriptação intermitente e mais complexos. Ao encriptar os dados em blocos não sequenciais, o "Mario" não só acelera o processo de cifragem, como também dificulta enormemente os esforços de recuperação por parte das vítimas e das empresas de cibersegurança, aumentando a pressão para o pagamento do resgate.