E a lista de vítimas é gigante, com novas notícias surgindo diariamente e que muitas vezes incluíram várias empresas conhecidas. Veja, por exemplo, a lista de vítimas destacadas pelo painel da IBRASPD:
Neste cenário, um dos grandes destaques deste ano foram as novas táticas de extorsão que surgiram neste anp. Há muito tempo eu escrevo aqui no blog que a técnica de "dupla extorsão" é coisa do passado. E, neste ano em particular, novas técnicas surgiram e se somaram ao meu ranking, que anteriormente tinha "só" 12 formas diferentes de extorsão.
Em 2023 vimos operadores extorquirem suas vítimas de algumas formas criativas, para aumentar sua exposição e humilhação:
- Usar leis de proteção de dados para ameaçar as vítimas com multas se não pagarem o resgate: Em agosto, o grupo Ransomed passou a chamar sua extorsão de "Digital Peace Tax", alegando que o pagamento do resgate evitaria, às vítimas, lidarem com multas regulatórias - no caso, o GDPR. O título do blog deles já diz seu posicionamento: “Ransomed[.]vc – Leading Company in Digital Peace Tax.” Segundo os pesquisadores da Flashpoint, , o grupo divulgou pedidos de resgate para as suas vítimas que variam entre 50.000 euros e 200.000 euros. Para efeito de comparação, as multas do GDPR podem chegar a milhões de euros, ou até mais – já houve multa superior a 1 bilhão de euros;
- Notificar órgãos reguladores: Em novembro, após o grupo BlackCat/ALPHV adicionar a empresa MeridianLink ao seu site de vítimas de vazamento de dados e na falta de resposta da empresa, o grupo realizou uma notificação formal do incidente ao órgão regulador americano Securities and Exchange Commission (SEC)). A MeridianLink é fornecedora de um sistema e plataforma de empréstimo digital para instituições financeiras. Segundo o grupo AlphV, eles não criptografaram nenhum equipamento da empresa, mas exfiltraram seus arquivos;
- Utilizar sites na surface web para expor suas vítimas: para aumentar a visibilidade de seu painel com vítimas, alguns grupos de ransomware começaram a publicar essas informações na Internet, em vez de utilizar apenas sites na Deep Web, de acesso mais restrito;
- Fornecer API para facilitar o download de dados: O download de dados das vítimas sempre foi um gargalo nas operações de ransomware. Quando uma vítima é exposta e seus dados são liberados ao público, como resultado de uma extorsão sem sucesso, começa uma correria para baixar os dados. Para agilizar esse processo, o grupo BlackCat/APLHV disponibilizou uma API. A novidade foi verificada durante o ataque à Estée Lauder, gigante do setor de maquiagens e cosméticos de luxo. Desde então, o site de vazamento de dados do grupo BlackCat/APLHV adicionou uma nova página com instruções para outros hackers usarem sua API para coletar atualizações sobre novas vítimas;
- Uso de Torrent para facilitar o download de dados das vítimas: essa foi uma inovação do grupo Cl0p, para facilitar a exposição de suas vitimas que não pagaram os resgates.
De tempos em tempos surgem novas formas "criativas" de extorquir as vítimas de ransomware. Dessa forma, o meu "contador de extorsões" aqui no blog fica atualizado, de 13 para 15 técnicas diferentes, muito além do "double extorsion" que muitos especialistas dizem por aí:
- O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
- Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
- Realizar ataques de DDoS contra a empresa;
- Call centers que ligam para a empresa atacada pelo ransomware;
- Avisar os clientes que a empresa teve os dados roubados!
- Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
- Vazar documentos que mostrem práticas ilegais da empresa;
- Vazar documentos confidenciais para os competidores;
- Uso de imagens violentas para assustar as vítimas;
- Acesso pesquisável aos dados roubados;
- Expor a vítima em site público na Internet;
- Vazar os dados das vítimas via Torrent;
- Oferecer acesso aos dados roubados via API;
- Digital Peace Tax;
- Denunciar a vítima aos órgãos reguladores.
Para saber mais:
- Pay our ransom instead of a GDPR fine, cybercrime gang tells its targets
- The Emergence of Ransomed: An Uncertain Cyber Threat in the Making
- AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC
- BlackCat cria API de vazamento em nova tática de extorsão
PS: Pequena atualização em 28/12.
Nenhum comentário:
Postar um comentário