[Segurança] Ransomwares e Septuple Extorsion

Não há dúvidas de que os ataques de Ransomware se tornaram o pior pesadelo das empresas. Afinal, nestes últimos 2 anos, as táticas de ataque mudaram e cresceram astronomicamente. Se até 2019 os ataques eram direcionados a sequestrar computadores dos usuários finais e exigir um resgate de, em geral, 100 dólares, de repente os ciber criminosos perceberam que poderiam sequestrar os computadores de uma empresa inteira. Deste então, o ataque a empresas se massificou e os valores dos resgates pularam para a casa dos milhões de dólares por ataque!

Desde então, se popularizou a buzzword "double extorsion", a partir do momento em que os Ransomwares corporativos passaram a exfiltrar os dados antes de criprografá-los. Assim, ameaçam as empresas de que irão vazar os dados se o resgate não for pago.

Embora a tática de "double extorsion" tenha se popularizado entre os operadores de Ransomware, a cada dia os ciber criminosos adicionam novas formas de extorsão ao seu arsenal maligno. Na verdade, já estamos na...

Septuple extorsion !

Ou seja, já são sete (7!!!) formas de extorsão realizadas pelos operadores de Ransomware! A mais recente, criada pelo grupo responsável pelo Ransomware Mespinoza (também conhecido como PYSA), consiste em buscar nos documentos roubados por indicadores de atividades ilegais da empresa, e ameaçar divulgá-las.

Assim, essa nova tática se soma as conhecidas anteriormente:

1. O clássico: sequestrar (criptografar) os dados locais e ameaçar não devolver (descriptografar) os dados;
2. Vazar (expor publicamente) os dados roubados, em fóruns online (isso foi batizado de "double extorsion");
3. Realizar ataques de DDoS contra a vítima;
4. Call centers que ligam para a empresa atacada pelo ransomware.
5. Avisar os clientes que a empresa teve os dados roubados!
6. Avisar os acionistas, para que estes possam vender suas ações antes dos criminosos divulgarem o ataque a empresa;
7. Vazar documentos que mostrem práticas ilegais da empresa.

Com o potencial de ganhos milionários em cada invasão, os ciber criminosos estão muito motivados para inovar nos ataques de Ransomware e buscar novas formas de obrigar as vítimas a pagar o resgate.

Vale a pena lembrar que é consenso na indústria de segurança que não devemos pagar o resgate. Além de alimentar essa indústria criminosa, o pagamento de resgate, na prática, não garante que os dados serão recuperados e não serão vazados.

Para saber mais:

• This ransomware gang hunts for evidence of crime to pressure victims into paying a ransom
• Alerta do FBI: Increase in PYSA Ransomware Targeting Education Institutions (CP-000142-MW)
• Ataques DDoS são cada vez mais usados para tripla extorsão
• Attackers Increasingly Turning to DDoS as a Ransom Vector

PS: Pequena atualização em 10 e 12/08.

PS/2 (adicionado em 30/09): Veja esse artigo que descreve um possível caso de "quadruple extorsion", do grupo responsável pelo ransomware BlackMatter, com vazamento e criptografia de dados e ameaça de expor os dados para o público ou para competidores - Ransomware Reportedly Hits Iowa Farm Services Cooperative