0
0
Ataques de ransomware rasgam através de redes corporativas pode trazer organizações massivas de joelhos. Mas mesmo que esses hacks atinjam novos altos de popularidade— e novos baixos éticos — entre os atacantes, não é a única técnica que os criminosos estão usando para abalar as vítimas corporativas. Uma nova onda de ataques depende, em vez disso, da extorsão digital — com um lado de personificação.
Na quarta-feira, a empresa de segurança web Radware publicou notas de extorsão que haviam sido enviadas para uma variedade de empresas em todo o mundo. Em cada um deles, os remetentes pretendem ser dos hackers do governo norte-coreano Lazarus Group, ou APT38, e dos hackers apoiados pelo Estado russo Fancy Bear, ou APT28. As comunicações ameaçam que, se o alvo não enviar um número definido de bitcoin — normalmente equivalente a dezenas ou até centenas de milhares de dólares — o grupo lançará poderosos ataques de negação distribuída de serviço contra a vítima, walloping a organização com uma mangueira de incêndio de tráfego de lixo estrategicamente direcionada para derrubá-lo off-line.
Esse tipo de extorsão digital — dê-nos o que estamos pedindo e não vamos atacá-lo — reapareceu repetidamente ao longo da última década. Mas nos últimos meses, os criminosos tentaram capitalizar o medo sobre ataques de alto perfil do Estado-nação, combinados com ansiedades relacionadas ao aumento dos ataques de ransomware, para tentar ganhar algum dinheiro extra.
“Como um bom vendedor, eles acompanham a primeira mensagem para convencer a vítima a pagar antes de realmente se dar ao trabalho de executar um ataque”, diz Pascal Geenens, diretor de inteligência de ameaças da Radware. “Claro, esses criminosos preferem o dinheiro fácil e não ter que passar pelo processo de executar um ataque. No entanto, se os atores de ameaça querem manter sua campanha crível, não atacar não é uma opção.
Embora os ataques não pareçam atingir certas regiões em particular, Radware descobriu que os hackers tendiam a se passar por Lazarus Group ao tentar extorquir dinheiro de organizações financeiras, e como Fancy Bear ao ameaçar a tecnologia e as vítimas de fabricação.
“Eles são monges do medo.” – GREG OTTO, INTEL471
Em outro exemplo recente, pesquisadores da empresa de segurança Intel471 relataram na terça-feira que hackers fingindo ser o Lazarus Group enviaram uma carta de extorsão à empresa de câmbio Travelex no final de agosto. Os atacantes exigiram 20 bitcoins (mais de US $ 200.000 na época) e disseram que o resgate aumentaria em 10 Bitcoin para cada dia que decorreu após o prazo inicial. A Travelex já havia sofrido um ataque de ransomware prejudicial na véspera de Ano Novo e supostamente pagou us$ 2,3 milhões aos hackers para descriptografar os dados.
“É um preço pequeno para o que acontecerá quando toda a sua rede cair”, escreveu o DDoSers de extorsão em seu e-mail para a Travelex. “Vale a pena? Você decide!
A Travelex não pagou o resgate desta vez, e em vez disso resistiu a um ataque DDoS que os hackers lançaram como uma espécie de tiro de aviso. “Quem está por trás disso provavelmente pensou que a Travelex deve ser um alvo fácil com base no que aconteceu no início do ano”, diz Greg Otto, pesquisador da Intel471. “Mas por que você iria a uma empresa que provavelmente passou pelo esforço para reforçar sua segurança? Eu entendo a lógica, mas também acho que há buracos nessa lógica.” A Travelex não retornou um pedido da WIRED para comentar sobre a tentativa de extorsão de agosto.
Os ataques DDoS de extorsão nunca foram especialmente lucrativos para os golpistas, porque eles não têm a urgência visceral de algo como ransomware, quando o alvo já está mancando e pode estar desesperado para restaurar o acesso. E embora isso sempre tenha sido uma fraqueza da estratégia, as ameaças são potencialmente ainda menos potentes agora que os serviços robustos de defesa DDoS tornaram-se generalizados e relativamente baratos.
“O DDoS de um modo de extorsão de um modo de extorsão de um modo geral não é tão lucrativo quanto outros tipos de extorsão digital”, diz Robert McArdle, diretor de pesquisa de ameaças prospectivas da Trend Micro. “É uma ameaça fazer algo em oposição à ameaça que você já fez. É como dizer: “Eu posso queimar sua casa na próxima semana.” É muito diferente quando a casa está pegando fogo na sua frente.
Dada a eficácia irregular da extorsão DDoS, os atacantes estão invocando os notórios grupos de hackers apoiados pelo Estado na tentativa de adicionar urgência e riscos. “Eles são monges do medo”, diz Otto. E os ataques provavelmente funcionam pelo menos ocasionalmente, dado que os atacantes continuam voltando à técnica. Por exemplo, Radware observou que, além de se passar por Fancy Bear e Lazarus Group, os atacantes também têm usado o nome de “Armada Collective”, um apelido que os atores de DDoS de extorsão têm invocado inúmeras vezes nos últimos anos. Não está claro se os atores por trás desta encarnação do Coletivo Armada têm alguma conexão com gerações passadas.
Embora a maioria das organizações com recursos para defesa digital possa se proteger efetivamente contra ataques DDoS, os pesquisadores dizem que ainda é importante levar essas ameaças a sério e realmente investir em proteções fortes. O FBI reforçou esta mensagem em um boletim no início de setembro sobre atores fingindo ser Fancy Bear. Ele informou que, no início de agosto, milhares de instituições ao redor do mundo começaram a receber notas de extorsão.
“A maioria das instituições que atingiram a marca de seis dias não reportou nenhuma atividade adicional ou a atividade foi atenuada com sucesso”, escreveu o FBI. “No entanto, várias instituições proeminentes relataram atividade de acompanhamento que impactou as operações.”
Embora os ataques possam não ser tão incapacitantes para a maioria dos alvos quanto o ransomware pode ser, eles ainda representam uma ameaça irritante para organizações que não têm defesas DDoS adequadas no local. E com tantos outros tipos de ameaças para navegar, é fácil imaginar que as táticas de susto poderiam funcionar o suficiente para fazer tudo valer a pena.
FONTE: WIRED