[Segurança] Retrospectiva: novas táticas de extorsão dos ransomwares

Os grupos criminosos de ransomware, os principais operadores e seus afiliados, foram muito ativos em 2023, e as notícias de vítimas não pararam de chegar. E ninguém foi poupado, principalmente a área da saúde - um dos principais setores atingidos segundo todas as estatísticas de mercado.

E a lista de vítimas é gigante, com novas notícias surgindo diariamente e que muitas vezes incluíram várias empresas conhecidas. Veja, por exemplo, a lista de vítimas destacadas pelo painel da IBRASPD:

Neste cenário, um dos grandes destaques deste ano foram as novas táticas de extorsão que surgiram neste anp. Há muito tempo eu escrevo aqui no blog que a técnica de "dupla extorsão" é coisa do passado. E, neste ano em particular, novas técnicas surgiram e se somaram ao meu ranking, que anteriormente tinha "só" 12 formas diferentes de extorsão.

Em 2023 vimos operadores extorquirem suas vítimas de algumas formas criativas, para aumentar sua exposição e humilhação:

• Usar leis de proteção de dados para ameaçar as vítimas com multas se não pagarem o resgate: Em agosto, o grupo Ransomed passou a chamar sua extorsão de "Digital Peace Tax", alegando que o pagamento do resgate evitaria, às vítimas, lidarem com multas regulatórias - no caso, o GDPR. O título do blog deles já diz seu posicionamento: “Ransomed[.]vc – Leading Company in Digital Peace Tax.” Segundo os pesquisadores da Flashpoint, , o grupo divulgou pedidos de resgate para as suas vítimas que variam entre 50.000 euros e 200.000 euros. Para efeito de comparação, as multas do GDPR podem chegar a milhões de euros, ou até mais – já houve multa superior a 1 bilhão de euros;

• Notificar órgãos reguladores: Em novembro, após o grupo BlackCat/ALPHV adicionar a empresa MeridianLink ao seu site de vítimas de vazamento de dados e na falta de resposta da empresa, o grupo realizou uma notificação formal do incidente ao órgão regulador americano Securities and Exchange Commission (SEC)). A MeridianLink é fornecedora de um sistema e plataforma de empréstimo digital para instituições financeiras. Segundo o grupo AlphV, eles não criptografaram nenhum equipamento da empresa, mas exfiltraram seus arquivos;

• Utilizar sites na surface web para expor suas vítimas: para aumentar a visibilidade de seu painel com vítimas, alguns grupos de ransomware começaram a publicar essas informações na Internet, em vez de utilizar apenas sites na Deep Web, de acesso mais restrito;
• Fornecer API para facilitar o download de dados: O download de dados das vítimas sempre foi um gargalo nas operações de ransomware. Quando uma vítima é exposta e seus dados são liberados ao público, como resultado de uma extorsão sem sucesso, começa uma correria para baixar os dados. Para agilizar esse processo, o grupo BlackCat/APLHV disponibilizou uma API. A novidade foi verificada durante o ataque à Estée Lauder, gigante do setor de maquiagens e cosméticos de luxo. Desde então, o site de vazamento de dados do grupo BlackCat/APLHV adicionou uma nova página com instruções para outros hackers usarem sua API para coletar atualizações sobre novas vítimas;
• Uso de Torrent para facilitar o download de dados das vítimas: essa foi uma inovação do grupo Cl0p, para facilitar a exposição de suas vitimas que não pagaram os resgates.

De tempos em tempos surgem novas formas "criativas" de extorquir as vítimas de ransomware. Dessa forma, o meu "contador de extorsões" aqui no blog fica atualizado, de 13 para 15 técnicas diferentes, muito além do "double extorsion" que muitos especialistas dizem por aí:

1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
3. Realizar ataques de DDoS contra a empresa;
4. Call centers que ligam para a empresa atacada pelo ransomware;
5. Avisar os clientes que a empresa teve os dados roubados!
6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
7. Vazar documentos que mostrem práticas ilegais da empresa;
8. Vazar documentos confidenciais para os competidores;
9. Uso de imagens violentas para assustar as vítimas;
10. Acesso pesquisável aos dados roubados;
11. Expor a vítima em site público na Internet;
12. Vazar os dados das vítimas via Torrent;
13. Oferecer acesso aos dados roubados via API;
14. Digital Peace Tax;
15. Denunciar a vítima aos órgãos reguladores.

Para saber mais:

• Pay our ransom instead of a GDPR fine, cybercrime gang tells its targets
• The Emergence of Ransomed: An Uncertain Cyber Threat in the Making
• AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC
• BlackCat cria API de vazamento em nova tática de extorsão

PS: Pequena atualização em 28/12.