0
0
As empresas atingidas por ransomware geralmente enfrentam uma dupla ameaça: Mesmo que evitem pagar o resgate e possam restaurar as coisas do zero, cerca de metade do tempo os atacantes também ameaçam liberar dados roubados confidenciais, a menos que a vítima pague por uma promessa de ter os dados excluídos. Deixando de lado a noção de que as vítimas podem ter qualquer expectativa real de que os atacantes realmente destruirão os dados roubados, novas pesquisas sugerem que um número justo de vítimas que pagam pode ver alguns ou todos os dados roubados publicados de qualquer maneira.
As descobertas vêm hoje em um relatório da Coveware, uma empresa especializada em ajudar as empresas a se recuperarem de ataques de ransomware. A Coveware diz que quase metade de todos os casos de ransomware agora incluem a ameaça de liberar dados exfiltrados.
“Anteriormente, quando uma vítima de ransomware tinha backups adequados, eles apenas restauravam e continuariam com a vida; não havia nenhuma razão para se envolver com o ator ameaça”, observa o relatório. “Agora, quando um ator de ameaças rouba dados, uma empresa com backups perfeitamente restauraveis é frequentemente obrigada a pelo menos se envolver com o ator de ameaças para determinar quais dados foram tomados.”
A Coveware disse ter visto amplas evidências de vítimas vendo alguns ou todos os seus dados roubados publicados depois de pagar para que sejam excluídos; em outros casos, os dados são publicados on-line antes mesmo que a vítima tenha a chance de negociar um acordo de exclusão de dados.
“Ao contrário de negociar por uma chave de descriptografia, negociar pela supressão de dados roubados não tem fim finito”, continua o relatório. “Uma vez que a vítima recebe uma chave de decodificação, ela não pode ser tirada e não se degrada com o tempo. Com dados roubados, um ator de ameaças pode retornar para um segundo pagamento em qualquer momento no futuro. Os registros são muito curtos e as evidências de que os padrões estão ocorrendo seletivamente já estão coletando.”
A empresa disse que aconselha os clientes a nunca pagar um resgate de exclusão de dados, mas sim a contratar advogados de privacidade competentes, realizar uma investigação sobre quais dados foram roubados e notificar quaisquer clientes afetados de acordo com a assessoria do advogado e as leis de notificação de violação de dados do aplicativo.
Fabian Wosar, diretor de tecnologia da empresa de segurança de computadores Emsisoft,disse que as vítimas de ransomware frequentemente aceitam as demandas de extorsão de publicação de dados quando estão tentando impedir que o público aprenda sobre a violação.
“A questão é que o ransomware é um negócio de esperança”, disse Wosar.
“A questão é que o ransomware é um negócio de esperança”, disse Wosar. “A empresa não quer que os dados sejam despejados ou vendidos. Então eles pagam por isso esperando que o ator de ameaça exclua os dados. Tecnicamente falando, se eles excluem os dados ou não não importa do ponto de vista legal. Os dados foram perdidos no momento em que foram exfiltrados.”
As vítimas de ransomware que pagam por uma chave digital para desbloquear servidores e sistemas de desktop criptografados pelo malware também estão confiando na esperança, disse Wosar, porque também não é incomum que uma chave de descriptografia não desbloqueie algumas ou todas as máquinas infectadas.
“Quando você olha para um monte de notas de resgate, você pode realmente ver grupos abordar isso muito diretamente e ter textos que dizem coisas ao longo das linhas de, sim, você está fodido agora. Mas se você nos pagar, tudo pode voltar antes de transarmos com você.”
FONTE: KREBS ON SECURITY