Geral 3min de Leitura - 05 de novembro de 2020

Cada vez mais mentirosos

Dinheiro dentro de cadeado que está sobre teclado de computador.

This post is also available in: Português

Equipes de Ransomware nem sempre excluem dados roubados mesmo quando pagos para isso – e chegam a extorquir as vítimas duas vezes em um único ataque.

Atribuída ao diplomata Thomas Edward Lawrence, a frase “pode haver honra entre ladrões, mas não entre políticos” entra em um novo contexto quando colocada na ótica dos criadores de ransomwares. Afinal, cibercriminosos do tipo estão se afastando cada vez mais de qualquer conceito de honra.

Entre os motivos que justificam tal afirmação está o fato de que as equipes de ransomware estão fazendo falsas promessas de excluir os dados roubados depois que a vítima paga o resgate. E mais: estão cobrando em dobro por um único ataque.

Um exemplo disso é o grupo de ransomware Maze, que desenvolveu a tática conhecida como extorsão dupla. Essa modalidade ocorre quando os invasores roubam arquivos não criptografados e ameaçam liberá-los publicamente se o resgate não for pago.

Assim, as vítimas não apenas estão sendo extorquidas pela criptografia de seus arquivos, mas também pelo risco de seus dados serem publicados na internet – estando disponíveis a qualquer pessoa do planeta.

Essa tática foi rapidamente adotada por outras operações de ransomware, que começaram a criar sites de vazamento de informações usados para publicar arquivos roubados.

Algumas operações de ransomware – como AKO / Ranzy – exigem dois pagamentos de resgate: um para o descriptografador e outro para não publicar os dados roubados.

Golpistas sem palavra

No relatório de ransomware Coveware Q3 2020, divulgado recentemente, há detalhes sobre gangues que não cumprem sua promessa de excluir os dados roubados após o pagamento do resgate.

De acordo com o novo relatório, certos grupos estão vazando dados furtados depois que o resgate foi pago. Inclusive, chegam a apresentar falsas provas de exclusão – ou então resolvem extorquir novamente uma vítima ao usar os mesmos dados que foram pagos para não serem divulgados. Abaixo, detalhamos como agem alguns dos principais nomes no cenário mundial de ransomware:

Sodinokibi: vítimas que pagaram foram extorquidas novamente semanas depois, com ameaças de publicar o mesmíssimo conjunto de dados.

Netwalker e Mespinoza: postam na internet uma série de dados de empresas que já haviam pago para que os conteúdos não fossem divulgados.

Conti: apresenta arquivos falsos como prova de exclusão dos dados furtados.

Maze, Sekhmet e Egregor, que possuem características bem semelhantes, também foram mencionados como tendo problemas para manter os dados secretos após o pagamento. O executivo da Coveware, Bill Siegel, explicou que, conforme o Maze crescia, sua operação se tornava desorganizada e os dados da vítima eram postados por engano em sites de vazamentos.

Siegel também falou sobre o Conti, alegando que o mesmo usava sites de compartilhamento de arquivos para mostrar provas de dados roubados das vítimas. Ao enviar dados para esses sites, links de remoção também são gerados, permitindo que qualquer pessoa com o link remova os dados carregados.

De acordo com Siegel, Conti forneceu às vítimas links de remoção falsos depois que um resgate foi pago. O conteúdo era formato por dados fictícios, e não os dados reais da vítima. Esses links tinham o objetivo de levar a pensar que seus dados foram excluídos, quando, na realidade, continuaram intactos nos servidores do Conti.

Pagar? Nunca!

Ao contrário de um descriptografador de ransomware, que um agente de ameaça não pode tirar depois de dado, não há como a vítima saber com certeza se uma operação de ransomware está excluindo dados roubados após o pagamento.

Portanto, não faz sentido pagar um resgate, pois não há garantias de que não haverá futuras extorsões. Até porque o armazenamento de dados furtados é mantido por várias equipes, e raramente fica protegido. Mesmo que o agente principal da ameaça delete tudo após o pagamento, outras partes que tiveram acesso a eles podem ter feito cópias para que possam extorquir a vítima no futuro.

Nesse contexto, as empresas devem informar adequadamente todos os clientes, funcionários e parceiros de negócios que seus dados foram comprometidos.

Existe, claro, o medo de manchar a reputação. Muitos ainda acreditam que se assumir como vítima de ransomware seria um sinal de fraqueza ou desleixo com a segurança digital. Contudo, na realidade, demonstra transparência e sinceridade – e liga o alerta para as demais empresas. Como visto, o silêncio não é uma boa opção.

This post is also available in: Português