[Segurança] Nova tática de extorsão dos ransomwares: contar para os seus pais!

Em um caso recente, os cibercriminosos por trás de um ataque de ransomware à uma escola secundária na Bélgica, usaram uma nota tática de intimidação: eles tentaram extorquir os pais de alunos individualmente, depois que a escola se recusou a pagar o resgate.

O caso aconteceu no final de janeiro desse ano, quando os atacantes teriam obtido acesso às redes internas da escola secundária OLV Pulhof, na Antuérpia, logo após o recesso de Natal. Os atacantes exigiram que a escola pagasse € 15.000 (US$ 17.800) de resgate pelos dados, mas como a exigência não foi atendida, voltaram sua atenção para os pais.

Os criminosos, então, enviaram um e-mail de extorsão para os pais dos alunos, aonde alegavam que haviam roubado informações confidenciais de alunos e funcionários, incluindo registros financeiros e dados confidenciais de saúde mental. Na mensagem, os pais foram informados de que poderiam pressionar a escola a pagar o resgate ou poderiam pagar € 50 por criança, sob a ameaça deles divulgarem e venderem publicamente os dados das crianças caso o pagamento não fosse efetuado.

Em conformidade com as diretrizes gerais de segurança cibernética, a escola não cedeu à tentativa de extorsão e orientou os pais a não efetuarem o pagamento.

Um fato curioso: na mensagem, os autores do ataque se identificaram como "Lock-Bit", mas certamente não se trata do grupo de ransomware Lockbit, que é um dos mais ativos há vários anos. Isso porque o modus operandi é totalmente diferente. Ao contrário do caso dessa escola, o "verdadeiro" grupo Lockbit não costuma utilizar mensagens por e-mail como principal método de extorsão, preferindo deixar notas de resgate diretamente nos sistemas comprometidos e direcionando as vítimas para portais de negociação específicos. Além disso, o resgate exigido da escola está muito abaixo dos valores milionários que o Lockbit geralmente exige.

Outro caso interessante e bem recente foi do novo grupo de ransomware 0APT, que prometeu enviar cópias desses dados incriminatórios das vítimas diretamente para seus órgãos governamentais e reguladores caso o resgate não seja pago. Além disso, eles prometem enviar um e-mail para os clientes, parceiros de negócios e todas as pessoas na lista de contatos para informá-los de que a empresa perdeu os dados deles.

Essas duas táticas de extorsão do APT0 não são novas, já foram observadas anteriormente e comentei aqui no blog. Mas achei legal destacar, justamente por ser um caso recente.

Dessa forma, o meu "contador de extorsões" que eu mantenho periodicamente aqui no blog fica atualizado para 17 técnicas distintas de extorsão, muuuuuuito além do "double extorsion" que muitos especialistas falam por aí:

1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
3. Realizar ataques de DDoS contra a empresa;
4. Uso de call centers que ligam para a empresa atacada pelo ransomware;
5. Avisar os clientes que a empresa teve os dados roubados!
6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
7. Vazar documentos que mostrem práticas ilegais da empresa;
8. Vazar documentos confidenciais para os competidores;
9. Uso de imagens violentas para assustar as vítimas;
10. Fornecer acesso pesquisável aos dados roubados;
11. Expor as vítimas em site público na Internet;
12. Vazar os dados das vítimas via Torrent;
13. Oferecer acesso aos dados roubados via API;
14. Evitar o pagamento de multas regulatórias (Digital Peace Tax);
15. Denunciar a vítima aos órgãos reguladores;
16. Falsa denúncia de pornografia;
17. Denunciar para os pais das vítimas.

Para saber mais:

• Hackers attempt to extort parents after school refuses to pay ransom fee
• 0APT Ransomware: The real fake!