0
0
Se a sua organização for atingida por uma gangue de ransomware que também conseguiu roubar dados da empresa antes de apertar o botão “criptografar”, quais tipos de dados são mais propensos a acabar sendo divulgados à medida que você debate internamente sobre se deve pagar a gangue de ransomware?
Os analistas da Rapid7 analisaram 161 divulgações de dados realizadas por gangues de ransomware usando a abordagem de dupla extorsão entre abril de 2020 e fevereiro de 2022, e descobriram que:
- Os dados mais comumente vazados são financeiros (63%), seguidos pelos dados do cliente/paciente (48%)
- Arquivos contendo propriedade intelectual (por exemplo, segredos comerciais, dados de pesquisa, etc.) raramente são divulgados (12%) por gangues de ransomware, mas se a organização faz parte da indústria farmacêutica, o risco de divulgação de dados de IP é consideravelmente maior (43%), “provavelmente devido ao alto valor atribuído à pesquisa e desenvolvimento dentro desse setor”.
A tática de dupla extorsão
As divulgações de dados de ransomware geralmente acontecem quando a organização da vítima se recusa a pagar o resgate. Primeiro, as gangues divulgam uma amostra de dados comprometidos e, se a vítima ainda não estiver convencida dos danos que um vazamento completo traria, elas divulgam o resto e/ou o vendem.
Os sites de vazamento de grupos de ransomware geralmente são configurados na dark web, mas um grupo publicou recentemente dados de vítimas roubadas na Internet pública.
A divulgação de dados foi pioneira pelo agora extinto grupo de ransomware Maze, mas a abordagem foi adotada por outros players no mercado de ransomware (REvil, Conti, Cl0p, etc.) porque as vítimas em potencial começaram a investir mais esforço na criação de bons backups.
Divulgações de dados dependendo da vertical da organização da vítima
As vítimas do setor de serviços financeiros devem se preocupar principalmente com o lançamento dos dados dos clientes. Isso aconteceu em 82% dos casos analisados, enquanto o percentual médio para todas as divulgações em todos os setores é de 41%. Dados de PII e RH de funcionários roubados, bem como dados financeiros e contábeis, também vazaram com frequência (59% e 50%, respectivamente).
As vítimas na vertical de saúde têm seus dados financeiros e contábeis vazados em 71% dos casos, e seus dados de clientes e pacientes vazaram em 66% dos casos. Os analistas postulam que esta última porcentagem é alta porque os atacantes estão contando com os alvos preocupados com as consequências legais e regulatórias das violações de dados de pacientes. Além disso, dados detalhados de pacientes são frequentemente usados indevidamente por criminosos por roubo de identidade e outras formas de fraude.
Como observado anteriormente, as organizações na vertical farmacêutica devem se preocupar especialmente com o lançamento de seu IP, bem como com seus dados financeiros e contábeis (71%).
Os analistas aconselham as empresas a fazer backups e garantir que os dados neles possam ser rapidamente restaurados, mas para combater a ameaça de divulgação de dados usando criptografia de arquivos, tornando todos os arquivos ilegíveis para olhos não autorizados e minimizar os movimentos dos atacantes por meio da segmentação de rede.
“As organizações podem usar essas descobertas para avaliar quais ativos de dados específicos devem receber proteção adicional”, acrescentaram eles, e para se preparar para o evento de uma divulgação de dados de ransomware (por exemplo, preparar notificações de cliente/paciente).
FONTE: HELPNET SECURITY