book_icon

Criminosos adotam extorsão tripla em ataques de ransomware

Além de sequestrar o sistema e ameaçar divulgar informações confidenciais, os criminosos estão extorquindo clientes e parceiros comerciais da vítima

Criminosos adotam extorsão tripla em ataques de ransomware

No início, os cibercriminosos especializados em ransomware invadiam o sistema da vítima, criptografavam os dados e pediam um resgate para fornecer a chave de descriptografia. Algumas vítimas, até por orientação da polícia e especialistas, se negavam a pagar. Os criminosos então passaram para a tática de extorsão dupla, ameaçando divulgar as informações confidenciais, colocando mais pressão na vítima. Agora, eles passaram a praticar uma extorsão tripla, exigindo resgate também para clientes, parceiros comerciais e até usuários da empresa atacada. A informação faz parte de um relatório do Check Point Research (CPR), divulgado no blog da empresa de segurança.

Vítimas terceirizadas, como clientes da empresa, colegas externos e provedores de serviços, são fortemente influenciadas e danificadas por violações de dados causadas por esses ataques de ransomware, mesmo que seus recursos de rede não sejam direcionados diretamente

O CPR relatou em março que os ataques de ransomware tiveram um aumento de 57% no número de ataques desde o início de 2021 em meio à divulgação das vulnerabilidades do Microsoft Exchange. Mais recentemente, a Colonial Pipeline, uma grande empresa de combustível dos Estados Unidos, foi vítima de tal ataque e, em 2020, estima-se que o ransomware custou às empresas em todo o mundo cerca de US$ 20 bilhões – um valor quase 75% maior do que em 2019.

Desde abril, os pesquisadores do CPR viram uma média de mais de 1 mil organizações sendo afetadas por ransomware todas as semanas. Isso segue aumentos significativos no número de organizações impactadas até agora em 2021 – 21% no primeiro trimestre do ano e 7% desde abril até agora. Esses aumentos resultaram em um aumento geral impressionante de 102% no número de organizações afetadas por ransomware em comparação com o início de 2020.

O sucesso da extorsão dupla ao longo de 2020, principalmente desde a eclosão da pandemia de Covid-19, é inegável. Embora nem todos os incidentes – e seus resultados – sejam divulgados e publicados, as estatísticas coletadas durante 2020-2021 refletem a proeminência do vetor de ataque. O pagamento médio do resgate aumentou 171% no ano passado e agora é de aproximadamente US$ 310 mil. Mais de 1 mil empresas sofreram vazamento de dados após se recusarem a atender aos pedidos de resgate em 2020, e cerca de 40% de todas as famílias de ransomware recém-descobertas incorporavam infiltração de dados em seu processo de ataque. Como os números refletem uma técnica de ataque de ouro, que combina uma violação de dados e uma ameaça de ransomware, fica claro que os invasores ainda buscam métodos para melhorar suas estatísticas de pagamento de resgate e sua eficiência de ameaças.

Nova tática

Ataques proeminentes que ocorreram no final de 2020 e no início de 2021 apontam para uma nova cadeia de ataques – essencialmente uma expansão da técnica de ransomware de extorsão dupla, integrando uma ameaça adicional única ao processo – o que a empresa chama de extorsão tripla. O primeiro caso notável é o ataque da clínica Vastaamo, que aconteceu em outubro de 2020. Inovadora na época, a clínica de psicoterapia finlandesa com 40 mil pacientes sofreu uma violação que culminou em um grande roubo de dados de pacientes e um ataque de ransomware. Um resgate alto foi exigido, mas, surpreendentemente, quantias menores também foram exigidas dos pacientes, que haviam recebido os pedidos de resgate individualmente por e-mail. Nesses e-mails, os atacantes ameaçaram publicar suas notas de sessão da terapia. Este foi o primeiro ataque desse tipo no cenário de ataques de ransomware.

Em uma escala mais ampla, em fevereiro de 2021, o grupo de ransomware REvil anunciou que havia adicionado dois estágios ao seu esquema de extorsão dupla – ataques DDoS e ligações para os parceiros de negócios da vítima e para a mídia. O grupo REvil ransomware, responsável pela distribuição do ransomware Sodinokibi, opera em um modelo de negócios de ransomware como serviço. O grupo agora oferece ataques DDoS e chamadas VoIP codificadas por voz para jornalistas e colegas como um serviço gratuito para suas afiliadas, com o objetivo de aplicar mais pressão sobre a empresa da vítima para atender aos pedidos de resgate dentro do prazo designado.

Vítimas terceirizadas, como clientes da empresa, colegas externos e provedores de serviços, são fortemente influenciadas e danificadas por violações de dados causadas por esses ataques de ransomware, mesmo que seus recursos de rede não sejam direcionados diretamente. Quer exijam mais resgate deles ou não, eles são impotentes diante de tal ameaça e têm muito a perder se o incidente der um caminho errado. Essas vítimas são alvos naturais de extorsão e podem estar no radar dos grupos de ransomware de agora em diante.

Serviço
www.checkpoint.com

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.