O Japão teve um aumento significativo nos ataques de ransomware no primeiro semestre de 2025, com incidências aumentando cerca de 1,4 vezes no mesmo período do ano anterior.
De acordo com uma investigação detalhada da Cisco Talos, 68 casos de ransomware direcionaram organizações japonesas, incluindo empresas domésticas e suas filiais no exterior, de janeiro a junho de 2025.
Essa onda, extraída de fontes como a Cisco Telemetria, declarações oficiais da empresa, reportagens e sites de vazamento de ransomware, contrasta acentuadamente com os 48 incidentes registrados no ano anterior.
Cenário de ransomware no Japão
Os volumes mensais de ataque flutuaram entre 4 e 16, com média de 11 por mês, ressaltando um vetor de ameaças persistente e intensificador.
O setor manufatureiro teve o impacto desses ataques, representando 18,2% dos casos, seguidos por setores automotivo (5,7%), empresas comerciais, de construção e transporte, cada um com 4,6 inalterados em relação ao ano passado.
O padrão destaca o foco contínuo dos atacantes em pequenas e médias empresas (PMEs), que compreendiam 69% das vítimas especificamente, 38% com capital abaixo de ¥ 100 milhões e 31% entre ¥ 100 milhões e ¥ 1 bilhão.
Essa estratégia de segmentação explora vulnerabilidades em entidades menos resfriadas, onde medidas robustas de segurança cibernética podem ficar para trás de empresas maiores.
A ausência de grupos anteriormente dominantes como Lockbit e 8Base, desmontada pela aplicação da lei internacional em 2024 e 2025, respectivamente, abriu o caminho para ameaças emergentes.
Notavelmente, Qilin subiu como o ator mais prolífico, reivindicando oito vítimas japonesas nesse período, uma forte ascensão de zero incidentes no ano fiscal de 2024.
Ativo desde outubro de 2022, as operações da Qilin exemplificam o modelo global de ransomware como serviço (RAAS), ampliando seu alcance e impacto.
Outros grupos ativos incluem Ransomhub e Hunters International a partir de classificações anteriores, ao lado de Lynx, Nightsire e Ransomhub Cada um com três incidentes, e Akira, Cicada3301, Gunra, Kawa4096 e Space, com dois cada.
Atores de um único incidente, como Black Suit, Clop, Devman, Fog, e tocam ainda mais diversificam o cenário de ameaças.
Spotlight on emerging ameaça
Um novo participante, Kawa4096, emergiu no final de junho de 2025, visando rapidamente entidades japonesas com dois ataques confirmados no final do mês.
O Kawalocker Ransomware deste grupo emprega técnicas sofisticadas, carregando configurações de seções de recursos por meio de chamadas de API FindResourcew.
Essas configurações ditam exclusões para criptografia (por exemplo, extensões de arquivos, diretórios), terminações de processo e comandos de pós-criptografia, como ações executadas WMI, como lançamentos da calculadora para testes ou reinicializações forçadas por meio de “desligamento /r /t 0”.
Os arquivos criptografados recebem extensões personalizadas derivadas de dados de recursos, com ícones associados registrados no Registro do Windows em HKEY_LOCAL_MACHINE Software Classes.
O manuseio de argumentos suporta multithreading com “-ver” para criptografia abrangente, “-d” para segmentação específica do diretório e “-dump” para dumps de memória baseados em API MinidumpWridedump.
A criação mutex (“SAY_HI_2025”) impede execuções simultâneas, enquanto as táticas de extensão dupla são evidentes em notas de resgate como “!! Restauração-my-File-Kavva.txt”, ameaçando vazamentos de dados de informações sensíveis, como registros de funcionários e clientes.
Pós-criptografia, os malware executam comandos para apagar as sombras (vssadmin.exe, wmic), limpar logs de eventos (wevtutil) e delete automático por comandos atrasados.
A criptografia aproveita a cifra Salsa20, com chunking adaptável: arquivos ≤10mb Encripto de criptografia totalmente, enquanto os maiores se dividem em pedaços à base de 64kb escalados pelo tamanho (por exemplo, 1 pedaço por 10-100 MB, até 100 por> 1 GB), otimizar o desempenho.
No final de julho de 2025, Kawalocker 2.0 introduzido Aprimoramentos, incluindo uma nota de resgate atualizada com contatos de email e um sinalizador “hide_name” para hash e ofuscando nomes de arquivos, complicando ainda mais forense.
Esses desenvolvimentos sinalizam a rápida evolução do KAWA4096, instando a vigilância aumentada no gerenciamento de vulnerabilidades e no compartilhamento de inteligência de ameaças entre as PME japonesas para mitigar esse crescente risco cibernético.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!