Páginas

dezembro 27, 2023

[Segurança] Retrospectiva: novas táticas de extorsão dos ransomwares

Os grupos criminosos de ransomware, os principais operadores e seus afiliados, foram muito ativos em 2023, e as notícias de vítimas não pararam de chegar. E ninguém foi poupado, principalmente a área da saúde - um dos principais setores atingidos segundo todas as estatísticas de mercado.

E a lista de vítimas é gigante, com novas notícias surgindo diariamente e que muitas vezes incluíram várias empresas conhecidas. Veja, por exemplo, a lista de vítimas destacadas pelo painel da IBRASPD:


Neste cenário, um dos grandes destaques deste ano foram as novas táticas de extorsão que surgiram neste anp. Há muito tempo eu escrevo aqui no blog que a técnica de "dupla extorsão" é coisa do passado. E, neste ano em particular, novas técnicas surgiram e se somaram ao meu ranking, que anteriormente tinha "só" 12 formas diferentes de extorsão.

Em 2023 vimos operadores extorquirem suas vítimas de algumas formas criativas, para aumentar sua exposição e humilhação:
  • Usar leis de proteção de dados para ameaçar as vítimas com multas se não pagarem o resgate: Em agosto, o grupo Ransomed passou a chamar sua extorsão de "Digital Peace Tax", alegando que o pagamento do resgate evitaria, às vítimas, lidarem com multas regulatórias - no caso, o GDPR. O título do blog deles já diz seu posicionamento: “Ransomed[.]vc – Leading Company in Digital Peace Tax.” Segundo os pesquisadores da Flashpoint, , o grupo divulgou pedidos de resgate para as suas vítimas que variam entre 50.000 euros e 200.000 euros. Para efeito de comparação, as multas do GDPR podem chegar a milhões de euros, ou até mais – já houve multa superior a 1 bilhão de euros;
  • Notificar órgãos reguladores: Em novembro, após o grupo BlackCat/ALPHV adicionar a empresa MeridianLink ao seu site de vítimas de vazamento de dados e na falta de resposta da empresa, o grupo realizou uma notificação formal do incidente ao órgão regulador americano Securities and Exchange Commission (SEC)). A MeridianLink é fornecedora de um sistema e plataforma de empréstimo digital para instituições financeiras. Segundo o grupo AlphV, eles não criptografaram nenhum equipamento da empresa, mas exfiltraram seus arquivos;
  • Utilizar sites na surface web para expor suas vítimas: para aumentar a visibilidade de seu painel com vítimas, alguns grupos de ransomware começaram a publicar essas informações na Internet, em vez de utilizar apenas sites na Deep Web, de acesso mais restrito;
  • Fornecer API para facilitar o download de dados: O download de dados das vítimas sempre foi um gargalo nas operações de ransomware. Quando uma vítima é exposta e seus dados são liberados ao público, como resultado de uma extorsão sem sucesso, começa uma correria para baixar os dados. Para agilizar esse processo, o grupo BlackCat/APLHV disponibilizou uma API. A novidade foi verificada durante o ataque à Estée Lauder, gigante do setor de maquiagens e cosméticos de luxo. Desde então, o site de vazamento de dados do grupo BlackCat/APLHV adicionou uma nova página com instruções para outros hackers usarem sua API para coletar atualizações sobre novas vítimas;
  • Uso de Torrent para facilitar o download de dados das vítimas: essa foi uma inovação do grupo Cl0p, para facilitar a exposição de suas vitimas que não pagaram os resgates.
De tempos em tempos surgem novas formas "criativas" de extorquir as vítimas de ransomware. Dessa forma, o meu "contador de extorsões" aqui no blog fica atualizado, de 13 para 15 técnicas diferentes, muito além do "double extorsion" que muitos especialistas dizem por aí:
  1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
  2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
  3. Realizar ataques de DDoS contra a empresa;
  4. Call centers que ligam para a empresa atacada pelo ransomware;
  5. Avisar os clientes que a empresa teve os dados roubados!
  6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
  7. Vazar documentos que mostrem práticas ilegais da empresa;
  8. Vazar documentos confidenciais para os competidores;
  9. Uso de imagens violentas para assustar as vítimas;
  10. Acesso pesquisável aos dados roubados;
  11. Expor a vítima em site público na Internet;
  12. Vazar os dados das vítimas via Torrent;
  13. Oferecer acesso aos dados roubados via API;
  14. Digital Peace Tax;
  15. Denunciar a vítima aos órgãos reguladores.
Para saber mais:

Nenhum comentário:

Postar um comentário