0
0
A gangue de cibercriminosos Darkside enviou US$ 20 mil em doações para instituições de caridade em um esforço de “Robin Hood” que provavelmente pretende chamar a atenção para futuros despejos de dados, de acordo com especialistas.
O grupo de ransomware Darkside distinguiu-se de seus homólogos cibercriminosos não por inovação técnica, mas por bater um verniz corporativo brilhante em seus ataques. A mais recente evolução no truque de ransomware como uma corporação da Darkside é uma doação de US$ 20.000 que o grupo fez com Bitcoin roubado para duas organizações de caridade internacionais, The Water Project e Children International, que eles então misteriosamente anunciaram por um comunicado de imprensa.
“O altruísmo não é um traço comum em gangues criminosas de extorsão, por isso é difícil tomar suas motivações em sua palavra”, disse Chris Clements, do Cerberus Sentinel, em um comunicado sobre as doações.
O Projeto Água não respondeu imediatamente às perguntas do Threatpost. A Children’s International disse ao Threatpost que o assunto está sendo investigado.
“Estamos cientes da situação e estamos pesquisando internamente”, disse Lauren Jurgens, da Children’s International, ao Threatpost por e-mail. “Se a doação está ligada a um hacker, não temos intenção de mantê-la.”
A Darkside anunciou os depósitos em 13 de outubro através de um de seus “comunicados de imprensa” corporativos publicados em um portal da dark web, de acordo com a BBC, juntamente com recibos fiscais para as doações de 0,88 Bitcoin para cada grupo, ou US $ 10.000 cada.
A percepção mais preocupante aqui é que os cibercriminosos ganharam tanto dinheiro com extorsão que doar US$ 20.000 é uma mudança para eles, acrescentou Clements.
Darkside’s Branding Effort
Darkside dedicou grande parte de seu tempo para tentar esculpir uma posição como um robin hood altruísta e digital. O plano de relações públicas não tem muito influência com a aplicação da lei, e o sentimento público tem pouco a ver com atividades criminosas.
“Como dissemos no primeiro comunicado à imprensa – estamos mirando apenas grandes corporações lucrativas”, escreveu o grupo. “Achamos justo que parte do dinheiro que eles pagaram vá para a caridade. Não importa o quão ruim você pense que nosso trabalho é, temos o prazer de saber que ajudamos a mudar a vida de alguém.”
Javvad Malik, defensor da conscientização de segurança do KnowBe4, disse ao Threatpost que, independentemente das mensagens, o objetivo dos crimes de ransomware permanece o mesmo: gerar melhores resultados para suas violações e roubar mais dinheiro.
“Isso [roubar dos ricos, dar à tática pobre] não é tanto uma mudança na narrativa como uma mudança no modelo de negócio que impulsiona essas organizações criminosas”, disse ele, acrescentando que as grandes corporações lhes dão mais do que querem. “Quanto mais sistemas podem ser interrompidos, mais dados podem ser roubados e mais pressão pública pode ser montada nas organizações — o que significa uma maior probabilidade de pagamento e maior lucro.”
Ransomware vai corporativo
O Digital Shadows tem rastreado o Darkside desde que apareceu em agosto passado, e um relatório recente apontou que suas táticas seguem padrões típicos de ransomware. A exceção são seus alvos escolhidos.
Stefano De Blasi, da Digital Shadows, disse no relatório que o grupo tenta se diferenciar prometendo não atacar organizações como escolas, hospitais ou governos, em vez disso, focando em empresas baseadas em receitas.
A Darkside usa ransomware personalizado para cada ataque e, de acordo com o Digital Shadows, vasculha os dados financeiros da empresa para identificar o que eles acreditam ser um resgate apropriado.
“O ransomware executa um comando PowerShell que exclui cópias de volume de sombra no sistema. A DarkSide então passa a encerrar vários bancos de dados, aplicativos e clientes de correio para se preparar para a criptografia”, escreveu De Blasi.
As notas de resgate personalizadas da Darkside são então emitidas para a empresa violada com detalhes sobre o tipo de dados roubados, bem como quanto e um link para seu site de vazamento, onde os dados serão publicados se as exigências de resgate não forem atendidas.
Colocar o nome da gangue criminosa nas manchetes é uma maneira de ajudar a garantir que os dados publicados e roubados recebam a maior atenção possível, causando o maior dano possível aos alvos.
“Se eles conseguirão ou não quebrar o molde – só o tempo dirá”, acrescentou De Blasi. “Embora o cenário de ameaças cibernéticas possa ser imprevisível e volátil, uma tendência é uma tendência, e continuaremos monitorando o bandwagon cibercriminoso de perto.”
A maioria dos pesquisadores não se impressiona com o aparente altruísmo de Darkside e a cuidadosa seleção das vítimas.
“Este último esforço de ‘doação’ por operadores de ransomware é apenas uma tentativa de melhorar sua imagem publicamente”, disse Katie Nickels, diretora de inteligência da Red Canary, por e-mail. “Quando a pandemia começou, vimos operadores de ransomware afirmando que não teriam como alvo hospitais – mas sabemos que muitos deles têm. Se os operadores de ransomware realmente se importassem em tornar o mundo um lugar melhor, eles parariam de resgatar vítimas, não fariam doações.”
FONTE: THREATPOST