Páginas

setembro 12, 2023

[Segurança] Acesso via API, Torrent e Website: novas táticas de extorsão dos ransomwares

Recentemente os cibercriminosos criaram três novas táticas para ampliar a pressão sobre as vítimas de ransomware e forçá-las a ceder a extorsão:

  • Expor os dados da vítima em um site público na Internet, na "surface web". Até então, era comum que o anúncio das vítimas de ransomware e a exposição de seus dados fossem realizados em sites na Deep Web. Entretanto, recentemente o grupo Cl0p começou a vazar os dados das vítimas em sites comuns, na própria internet, acessível por qualquer pessoa. Isso amplifica a exposição da vítima e facilita o acesso aos dados vazados por terceiros;
  • Vazamento de dados via Torrent: Outra técnica adotada pelo grupo Cl0p para facilitar, em muito, o acesso aos dados roubados de suas vítimas;
  • Oferecer acesso aos dados vazados via API. A gangue de ransomware BlackCat/ALPHV começou a usar essa artimanha para aumentar a pressão sobre as vítimas de seus ataques. Eles começaram a oferecer o acesso aos dados roubados via API, disponível em seu site de vazamento. Isso acaba dando maior visibilidade aos ataques.

Essas duas táticas se somam ao arsenal dos criminosos que, segundo meu acompanhamento aqui no blog, já chegam a 13 táticas diferentes:

  1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
  2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
  3. Realizar ataques de DDoS contra a empresa;
  4. Call centers que ligam para a empresa atacada pelo ransomware;
  5. Avisar os clientes que a empresa teve os dados roubados!
  6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
  7. Vazar documentos que mostrem práticas ilegais da empresa;
  8. Vazar documentos confidenciais para os competidores;
  9. Uso de imagens violentas para assustar as vítimas;
  10. Acesso pesquisável aos dados roubados;
  11. Expor a vítima em site público na Internet;
  12. Vazar os dados das vítimas via Torrent;
  13. Oferecer acesso aos dados roubados via API.
Outro fato curioso é que há pouco tempo atrás foi divulgado que o Exmatter, um conhecido malware de exfiltração de dados usado pelo grupo de ransomware BlackMatter, começou a usar uma nova tática, o que pode significar uma mudança no modus operandi nos ataques de ransomware. O malware foi atualizado com a funcionalidade de corrupção de dados, em vez do uso de criptografia: os arquivos recebem um segmento de tamanho aleatório, corrompendo-o.

Nenhum comentário:

Postar um comentário