Os grandes grupos de hackers que operam ransomware estão adotando como tática a criação de “sites de vazamento” para publicar documentos confidenciais de empresas que se recusam a pagar resgate para descriptografar os arquivos sequestrados.
Conhecida como extorsão dupla, a estratégia visa pressionar as vítimas a pagarem o resgate. Um exemplo recente de como os grupos que operam ransomware estão atualmente usando sites de vazamento e extorsão dupla é o caso da Universidade de Utah, nos EUA. Na semana passada, a administração da universidade admitiu ter pagado US$ 457 mil a uma gangue de ransomware, mesmo que recuperassem os arquivos criptografados usando backups anteriores.
Em um comunicado publicado em seu site, a universidade justificou o pagamento em razão da ameaça dos hackers de vazar arquivos contendo dados confidenciais de alunos caso não concordasse em pagar o resgate, independentemente da capacidade de recuperar seus arquivos originais.
Veja isso
Fabricante do Jack Daniel’s atingido pelo ransomware Sodinokibi
Garmin confirma ransomware e anuncia recuperação de sistemas
Incidentes como o da Universidade de Utah estão se tornando comuns, à medida que mais e mais grupos de ransomware passam a operar um site de vazamento para colocar pressão adicional sobre as vítimas. O número de sites de vazamento tem crescido constantemente desde dezembro de 2019, quando os operadores do ransomware Maze lançaram o primeiro site.
Variante do Ryuk
Hoje, a lista de grupos de hackers que operam sites de vazamento inclui nomes como Ako, Avaddon, CLOP, Darkside, DoppelPaymer, Maze, Mespinoza (Pysa), Nefilim, NetWalker, RagnarLocker, REvil (Sodinokibi) e Sekhmet.
Alguns desses grupos são pequenos, sobre os quais até mesmo analistas de malware mal ouviram falar, mas alguns, como Maze, DoppelPaymer, REvil e NetWalker, estão entre os maiores agentes de ameaças de ransomware da atualidade, responsáveis por uma grande quantidade de ataques.
Outros grupos, como BitPaymer, WastedLocker, LockBit, ProLock e a família Dharma, ainda não adotaram sites de vazamento. As razões são desconhecidas, mas os pesquisadores de malware dizem que alguns grupos criminosos gostam de operar sem chamar muita atenção, ao contrário dos sites de vazamento que estão sempre sob holofotes de empresas de segurança cibernética, da mídia e de agentes da lei.
Na semana passada, no entanto, um outro grande grupo que opera ransomware lançou um site de vazamento. Trata-se do Conti, uma variedade de ransomware relativamente nova. No entanto, relatórios da Arete, Bleeping Computer e Carbon Black afirmam que ele está sendo operado pelo mesmo grupo que conduziu ataques do ransomware Ryuk, um dos mais ativos nos dois últimos anos e um dos mais efetivos ransomware.
Descoberto por um analista de malware que usa o pseudônimo de BreachKey, o site de vazamento do Conti está disponível em diferentes URLs na internet pública e na dark web. BreachKey disse à ZDNet que o site já lista 26 empresas como vítimas dos ataques do grupo, que se recusaram a pagar resgate.
