BlackCat cria API de vazamento em nova tática de extorsão

Views: 104
0 0
Read Time:2 Minute, 44 Second

A gangue de ransomware BlackCat, também conhecida como ALPHV, está tentando colocar mais pressão sobre as vítimas de seus ataques para que paguem resgate, por meio de uma API disponível em seu site de vazamento para aumentar a visibilidade dos ataques.

A novidade foi  verificada durante a recente violação pela gangue da Estée Lauder, gigante do setor de maquiagens e cosméticos de luxo, que terminou com a empresa ignorando completamente o esforço dos operadores da ameaça para que passasse a negociar o pagamento de um resgate.

Vários pesquisadores de segurança descobriram no início da semana passada que o site de vazamento de dados ALPHV/BlackCat adicionou uma nova página com instruções para outros hackers usarem sua API para coletar atualizações oportunas sobre novas vítimas.

APIs (interfaces de programação de aplicações) normalmente são usadas para permitir a comunicação entre dois componentes de software com base em definições e protocolos acordados.

O grupo de pesquisa de malware VX-Underground apontou para a nova seção no site do BlackCat, mas parece que o “recurso” está parcialmente disponível há meses, embora não para o público em geral.

A gangue de ransomware postou as chamadas de API que ajudariam a buscar várias informações sobre novas vítimas adicionadas ao site de vazamento ou atualizações a partir de uma data específica.

“Busque atualizações desde o início e sincronize cada artigo com seu banco de dados. Depois disso, qualquer chamada de atualização subsequente deve fornecer o “updatedDt” mais recente de artigos sincronizados anteriormente [sic] + 1 milissegundo”, explicou o comunicado da gangue.

O grupo também forneceu um rastreador escrito em Python para ajudar a recuperar as informações mais recentes sobre o site de vazamento de dados. Embora a quadrilha não tenha explicado o lançamento da API, um dos motivos pode ser que menos vítimas estão sucumbindo às demandas de pagamento de resgate.

Um relatório da empresa de resposta a incidentes de ransomware Coveware observa que o número de vítimas pagantes que sofreram um ataque de ransomware “caiu para 34%” no segundo trimestre deste ano, um recorde de baixa No entanto, alguns operadores de ameaças continuam ganhando muito dinheiro concentrando-se em direcionar a cadeia de suprimentos para violar um grande número de organizações.

Estima-se que o ransomware Clop, por exemplo, fature até US$ 100 milhões com a extorsão de vítimas de sua enorme campanha de roubo de dados MOVEit Transfer. As violações do grupo de hackers usando uma vulnerabilidade de dia zero na plataforma segura de transferência de arquivos da Progress Software provavelmente afetam centenas de empresas, incluindo a Estée Lauder, que também foi comprometida pelo BlackCat/ALPHV.

A Estée Lauder não respondeu a nenhuma mensagem do grupo, afirmando claramente que não pagaria ao invasor pelos arquivos roubados. Isso inflamou a gangue e gerou uma mensagem que zombava das medidas de segurança da empresa, dizendo que os especialistas em segurança trazidos após a violação fizeram um trabalho ruim porque a rede ainda estava comprometida.

Com menos vítimas pagantes, as gangues de ransomware estão procurando novos métodos para pressionar e conseguir dinheiro. Tornar os vazamentos facilmente disponíveis para um público maior parece ser a mais recente estratégia de extorsão do grupo de ransomware, mas também pode estar fadado ao fracasso.

FONTE: CISO ADVISOR

POSTS RELACIONADOS