0
0
Pesquisadores de segurança observaram que várias gangues de ransomware não estão honrando os pagamentos de resgate recebidos das vítimas por seus dados roubados.
Em seu Relatório Trimestral de Ransomware para o terceiro trimestre de 2020, a Coveware revelou que quase 50% dos casos de cripto-malware envolviam a ameaça de publicar dados não criptografados roubados das vítimas, além do uso de criptografia para tornar as informações das vítimas inacessíveis.
A adição de roubo de dados na mistura permite que os invasores digitais exijam dois resgates de suas vítimas: um para a exclusão de todas as informações roubadas e outro para o recebimento de uma chave de descriptografia em funcionamento.
No entanto, a Coveware revelou em seu relatório que pelo menos cinco gangues diferentes de ransomware não estavam honrando os pagamentos recebidos pelo primeiro por vítimas doxxing depois de terem pago ou pedido um pagamento adicional de resgate para impedir a publicação dos dados das vítimas.
Por exemplo, a empresa de segurança descobriu que o REvil, um grupo que agora controla o infostealer KPOT,re-extorquiu as vítimas pelos mesmos dados poucas semanas depois de terem enviado um pagamento de resgate.
Enquanto isso, os invasores responsáveis pelas famílias Netwalker e Mespionza foram em frente e postaram as informações roubadas de suas vítimas, apesar de terem recebido pagamento para apagar esses dados.
A gangue responsável por Conti, cripto-malware que é o provável sucessor de Ryuk, fez algo semelhante na medida em que mostrava arquivos falsos às vítimas como prova de exclusão. Esse truque permitiu que os invasores publicassem os dados de suas vítimas e/ou os extorquissem de reativação em um momento posterior, se assim o escolhessem.
Finalmente, os operadores da Maze publicaram os dados das vítimas acidentalmente ou voluntariamente em seu site de vazamentos de dados antes mesmo de dizer às vítimas que haviam roubado seus dados.
Essas traições destacam a dificuldade inerente de negociar com atores de ransomware, especialmente sobre dados roubados. Como Coveware explicou em seu relatório:
Ao contrário de negociar por uma chave de descriptografia, negociar para a supressão de dados roubados não tem fim finito. Uma vez que a vítima recebe uma chave de decodificação, ela não pode ser tirada e não se degrada com o tempo. Com dados roubados, um ator de ameaças pode retornar para um segundo pagamento em qualquer momento no futuro. Os registros são muito curtos e evidências de que os padrões estão ocorrendo seletivamente já estão sendo coletados.
Reconhecendo essa tendência, organizações e usuários devem considerar direcionar seu foco para prevenir uma infecção por ransomware em primeiro lugar. Este recurso serve como um bom ponto de partida.
FONTE: TRIPWIRE