0
0
No final do ano passado, uma empresa de segurança foi atingida pelo que era então um novo tipo de ataque: seus dados foram bloqueados e mantidos por resgate — semelhante a uma infecção tradicional de ransomware — mas quando eles não pagaram a demanda multimilionária, os hackers começaram a postar dados roubados da empresa online.
Este chamado ataque de ransomware de extorsão dupla jogou uma chave na sabedoria convencional de como minimizar o impacto desses incidentes. Backups bem mantidos, por exemplo, podem ajudar uma organização a retomar as operações depois de ser vítima de um ataque de ransomware, mas eles não têm ajuda se os criminosos ameaçarem expor dados corporativos confidenciais.
Embora esse estilo de ataque tenha começado com um único grupo criminoso, outros operadores de ransomware adotaram a técnica no último ano. E de acordo com um relatório divulgado hoje pela Recorded Future, indicadores nos últimos meses sugerem que o ransomware de extorsão dupla provavelmente está aqui para ficar.
“A extorsão dupla não é um flash na panela — é uma tática bastante comum em todo o quadro para famílias de ransomware novas e existentes”, disse David Carver, gerente da equipe de pesquisa da empresa. “Eu não vejo isso como provável que vamos ver essa tendência descontinuar ou ir para baixo.”
De julho a setembro, um punhado de novos sites de extorsão de ransomware surgiram à medida que os cibercriminosos adotaram a tática como uma maneira de pressionar as organizações a pagar demandas, segundo o relatório. Por exemplo, várias vítimas do grupo de ransomware SunCrypt — incluindo um sistema escolar e um hospital — tiveram seus dados expostos em um site lançado em agosto. No final de setembro, operadores associados à família de ransomware Egregor começaram a postar amostras de dados roubados on-line dando às vítimas três dias para pagar o resgate antes de continuar o vazamento. Na mesma época, operadores de um novo ransomware apelidado de MountLocker ameaçaram publicar dados roubados se as vítimas não pagassem um resgate de US$ 2 milhões, de acordo com o relatório.
Esses grupos são apenas os mais recentes de uma tendência que remonta ao final do ano passado, disse Carver.
“No final de 2019, era apenas o grupo de ransomware Maze, então muito rapidamente no início de 2020, alguns outros operadores saltaram a bordo. Nos últimos meses, outros cinco a dez saltaram. Não é uma linha de tendência que está diminuindo”, disse ele.
Notavelmente, o grupo Maze postou em seu site na semana passada que estaria fechando, embora a declaração cheia de erros de digitação não tenha der uma razão clara para a mudança. Uma possibilidade é que o grupo desenvolva uma nova infraestrutura e readeça suas táticas devido, em parte, à atenção que Maze recebeu, disse Carver.
Ele acrescentou que grupos adicionais devem entrar na tendência, pois eles vêem isso como uma maneira de aumentar os lucros e aumentar sua reputação entre cibercriminosos e especialistas em segurança da informação.
“Sou geralmente otimista, mas no curto prazo isso não é algo que eu tenho muita esperança”, disse ele.
FONTE: THE RECORD