Grupos de ransomware experimentam uma nova tática
Como observamos regularmente em Lifetechweb, o ransomware é tortuoso e infinitamente inventivo. É esta capacidade de encontrar novas variações do mesmo modelo básico de extorsão que o tornou a forma comercial de crime cibernético de maior sucesso já inventada.
Com exceção de hacks técnicos ocasionais (incluindo um talento para detectar pontos fracos que todos os outros ignoraram), a maior parte desta inovação deriva de uma mistura de novos artifícios de engenharia social, advertising and marketing inteligente e operações comerciais.
Em 2023, vimos o surgimento de ataques duplos de ransomware, em que as vítimas se deparam com mais de um ataque de ransomware ao mesmo tempo. No início, presumiu-se que se tratava de uma coincidência, mas também é provável que alguns destes ataques tenham sido concebidos dessa forma para aumentar o caos e a confusão.
Desde então, surgiram relatos de uma versão diferente da mesma ideia, os chamados ataques de “seguimento” ou “reextorsão”, dois exemplos dos quais de Outubro e Novembro de 2023 foram recentemente documentados pela empresa de segurança Arctic Wolf.
No primeiro, uma vítima do ransomware Royal foi contatada por um grupo que se autodenomina Moral Aspect Group (ESG), alegando ter a capacidade de acessar dados roubados durante o ataque unique. A oferta: o ESG invadiria a infraestrutura da Royal e excluiria os dados em troca de uma taxa.
No segundo incidente, um grupo que se autodenomina anonymoux contatou uma vítima do grupo de ransomware Akira, fazendo a mesma afirmação bastante ousada: pague-nos e nós garantiremos que seus dados roubados sejam apagados.
Arctic Wolf observa uma série de semelhanças estranhas entre os incidentes. Ambos afirmavam ser pesquisadores legítimos, ambos ofereciam um serviço idêntico e havia inúmeras frases em comum entre os dois em termos de comunicação.
A empresa conclui:
“Com base nos elementos comuns identificados entre os casos documentados aqui, concluímos com moderada confiança que um ator de ameaça comum tentou extorquir organizações que anteriormente foram vítimas de ataques de ransomware Royal e Akira com esforços subsequentes.”
Dois pontos emergem disto, o primeiro dos quais é que os grupos de ransomware (ou uma afiliada a eles associada) estão a tentar extorquir de forma oportunista as mesmas vítimas, embora pedindo quantias menores.
Em segundo lugar, mesmo que as ofertas não estejam relacionadas com o grupo, confiar neles para cumprir a sua promessa de eliminar dados é um jogo de tolos, assumindo que tal é mesmo possível uma vez que os dados tenham sido publicados sabe-se lá onde.
A Arctic Wolf não diz se algum dos incidentes resultou em pagamento, mas sejamos otimistas e assumamos que o fato de nos contarem sobre isso significa que a vítima period suspeita o suficiente para não cair na manobra.
A história do ransomware sugere que a popularidade da reextorsão provavelmente crescerá em 2024 a partir de uma base muito baixa. É improvável que se torne uma tática importante, mas isso não significa que não se tornará mais uma possibilidade que os defensores devam estar atentos.
