Os cibercriminosos estão a tornar-se mais agressivos nos seus esforços para maximizar a interrupção e forçar o pagamento dos pedidos de resgate, e há uma nova tática de extorsão em jogo.
No início de novembro, a notória gangue de ransomware ALPHV, também conhecida como BlackCat, tentou uma tática de extorsão inédita: usar como arma as novas regras de divulgação de violação de dados do governo dos EUA contra uma das próprias vítimas da gangue. A ALPHV apresentou uma queixa à Comissão de Valores Mobiliários dos EUA (SEC), alegando que o provedor de empréstimos digitais MeridianLink não divulgou o que o grupo cibercriminoso chamou de “uma violação significativa que compromete os dados e a segurança do cliente”. a banda levou o crédito.
“Queremos chamar a sua atenção para uma questão preocupante relativa à conformidade do MeridianLink com as regras de divulgação de incidentes de segurança cibernética recentemente adotadas”, escreveu ALPHV. “Chegou ao nosso conhecimento que a MeridianLink não apresentou a divulgação exigida no Item 1.05 do Formulário 8-K dentro dos quatro dias úteis estipulados, conforme exigido pelas novas regras da SEC.”
O último esforço de extorsão da ALPHV é o primeiro exemplo do que se espera que seja uma tendência nos próximos meses, agora que as regras entraram em vigor. Embora nova, esta não é a única tática agressiva usada por gangues de ransomware e extorsão.
Os hackers, normalmente conhecidos por implantar ransomware, têm recorrido cada vez mais a táticas de “dupla extorsão”, pelas quais, além de criptografar os dados da vítima, gangues ameaçam liberar os arquivos roubados, a menos que seja paga uma taxa. Alguns vão mais longe com “triplo ataques de extorsão”, que, como o nome sugere, os hackers usam uma abordagem tripla para extorquir as suas vítimas, estendendo ameaças e pedidos de resgate a clientes, fornecedores e associados da vítima original. Essas táticas foram usadas pelos hackers por trás dos ataques massivos e poderosos ao MOVEit, que são um desenvolvimento fundamental na tendência de tentativas de extorsão sem criptografia.
Embora definições ambíguas possam não parecer o maior problema de segurança cibernética que as organizações enfrentam atualmente, a distinção entre ransomware e extorsão é importante, especialmente porque a defesa contra estes dois tipos de ataques cibernéticos pode variar muito. A distinção também ajuda os legisladores a saber onde o ransomware está em alta e se as políticas anti-ransomware estão funcionando.
Qual é a diferença entre ransomware e extorsão?
A Força-Tarefa Ransomware descreve ransomware como uma “forma em evolução de crime cibernético, por meio da qual os criminosos comprometem remotamente sistemas de computador e exigem um resgate em troca da restauração e/ou não exposição de dados”.
Na realidade, os ataques de ransomware podem ter vários impactos. Os especialistas em ransomware Allan Liska, analista de inteligência de ameaças da Recorded Future, e Brett Callow, analista de ameaças da Emsisoft, compartilharam em uma análise que esta definição ampla de ransomware pode ser aplicada a ambos os “golpes”, baixamos o conteúdo de sua instância Elasticsearch insegura por US$ 50 ataques” a “ataques disruptivos baseados em criptografia que ameaçam a vida dos hospitais”.
“Claramente, porém, são animais muito diferentes”, disseram Liska e Callow. “Um é um pirata oportunista que rouba sua entrega na Amazon, enquanto o outro é uma equipe de criminosos violentos que invadem sua casa e aterrorizam sua família antes de levar todos os seus pertences.”
Os pesquisadores dizem que há semelhanças entre ataques de “criptografar e extorquir” e “ataques apenas de extorsão”, como a dependência de intermediários que vendem acesso a redes violadas. Mas também existem distinções importantes entre os dois, especialmente nos clientes, fornecedores e clientes da vítima, cujos próprios dados sensíveis podem ser apanhados em ataques apenas de extorsão.
“Vemos isso acontecendo repetidamente, onde um ator de ameaça classifica o dados roubados para encontrar a maior ou mais conhecida organização que pode encontrar e afirma ter atacado essa organização com sucesso. “Esta não é uma tática nova”, disseram Liska e Callow, citando um exemplo de como uma gangue de ransomware alegou ter hackeado um grande gigante da tecnologia, quando na realidade havia roubado dados de um de seus fornecedores de tecnologia menos conhecidos.
“Uma coisa é evitar que um invasor criptografe arquivos na sua rede, mas como você protege toda a sua cadeia de fornecimento de dados?” Liska e Callow disseram. “Na verdade, muitas organizações não estão pensando na sua cadeia de fornecimento de dados… mas todos os pontos dessa cadeia de fornecimento são vulneráveis a roubo de dados e ataques de extorsão.”
É necessária uma melhor definição de ransomware
Embora as autoridades há muito desencorajam as organizações hackeadas de pagar pedidos de resgate, nem sempre é uma decisão fácil para as empresas afetadas por hackers.
Nos ataques de criptografia e extorsão, as empresas têm a opção de pagar o resgate para obter uma chave que descriptografa seus arquivos. Mas quando você paga hackers que usam táticas agressivas de extorsão para excluir seus arquivos roubados, não há garantia de que os hackers realmente farão isso.
Isso foi demonstrado no recente ataque de ransomware contra a Caesars Entertainment, que pagou hackers na tentativa de impedir a divulgação de dados roubados. Como ele próprio admitiu, o Caesars disse aos reguladores que “tomamos medidas para garantir que o ator não autorizado exclua os dados roubados, embora não possamos garantir esse resultado”.
“Na verdade, deve-se presumir que não o farão”, disseram Liska e Callow, referindo-se às alegações de que hackers excluíram dados roubados.
“Uma melhor definição de ransomware, que tenha em conta a distinção entre diferentes tipos de ataques, permitirá às organizações planear e responder melhor a qualquer tipo de ataque de ransomware, quer ocorra dentro da sua própria rede ou de terceiros» Liska e Callow Comente.
