Páginas

julho 22, 2021

[Segurança] Ransomwares e Septuple Extorsion

Não há dúvidas de que os ataques de Ransomware se tornaram o pior pesadelo das empresas. Afinal, nestes últimos 2 anos, as táticas de ataque mudaram e cresceram astronomicamente. Se até 2019 os ataques eram direcionados a sequestrar computadores dos usuários finais e exigir um resgate de, em geral, 100 dólares, de repente os ciber criminosos perceberam que poderiam sequestrar os computadores de uma empresa inteira. Deste então, o ataque a empresas se massificou e os valores dos resgates pularam para a casa dos milhões de dólares por ataque!


Desde então, se popularizou a buzzword "double extorsion", a partir do momento em que os Ransomwares corporativos passaram a exfiltrar os dados antes de criprografá-los. Assim, ameaçam as empresas de que irão vazar os dados se o resgate não for pago.

Embora a tática de "double extorsion" tenha se popularizado entre os operadores de Ransomware, a cada dia os ciber criminosos adicionam novas formas de extorsão ao seu arsenal maligno. Na verdade, já estamos na...


Septuple extorsion !

Ou seja, já são sete (7!!!) formas de extorsão realizadas pelos operadores de Ransomware! A mais recente, criada pelo grupo responsável pelo Ransomware Mespinoza (também conhecido como PYSA), consiste em buscar nos documentos roubados por indicadores de atividades ilegais da empresa, e ameaçar divulgá-las.

Assim, essa nova tática se soma as conhecidas anteriormente:
  1. O clássico: sequestrar (criptografar) os dados locais e ameaçar não devolver (descriptografar) os dados;
  2. Vazar (expor publicamente) os dados roubados, em fóruns online (isso foi batizado de "double extorsion");
  3. Realizar ataques de DDoS contra a vítima;
  4. Call centers que ligam para a empresa atacada pelo ransomware.
  5. Avisar os clientes que a empresa teve os dados roubados!
  6. Avisar os acionistas, para que estes possam vender suas ações antes dos criminosos divulgarem o ataque a empresa;
  7. Vazar documentos que mostrem práticas ilegais da empresa.
Com o potencial de ganhos milionários em cada invasão, os ciber criminosos estão muito motivados para inovar nos ataques de Ransomware e buscar novas formas de obrigar as vítimas a pagar o resgate.

Vale a pena lembrar que é consenso na indústria de segurança que não devemos pagar o resgate. Além de alimentar essa indústria criminosa, o pagamento de resgate, na prática, não garante que os dados serão recuperados e não serão vazados.


PS: Pequena atualização em 10 e 12/08.

PS/2 (adicionado em 30/09): Veja esse artigo que descreve um possível caso de "quadruple extorsion", do grupo responsável pelo ransomware BlackMatter, com vazamento e criptografia de dados e ameaça de expor os dados para o público ou para competidores - Ransomware Reportedly Hits Iowa Farm Services Cooperative

Nenhum comentário:

Postar um comentário