Se o resgate não for pago, operadores do ransomware liberam os arquivos roubados em um site público de ‘notícias’ para expor a vítima a multas e ações judiciais
Os operadores do ransomware DoppelPaymer lançaram um site que usarão para expor as vítimas que não pagarem resgate e publicar quaisquer arquivos que forem roubados.
Um novo método de extorsão iniciado pelo ransomware Maze é roubar arquivos antes de criptografá-los e usá-los como alavanca para fazer com que as vítimas paguem o resgate. Se o resgate não for pago, os operadores de ransomware liberam os arquivos roubados em um site público de ‘notícias’ para expor a vítima a multas, ações judiciais e o risco de o ataque ser classificado como violação de dados.
Logo após o início dessa tática, outros operadores de ransomware, incluindo do Sodinokibi, Nemty e DoppelPaymer, declararam que também iniciariam essa prática.
Hoje, os operadores do DoppelPaymer seguiram os passos do Maze e lançaram um site chamado ‘Dopple Leaks’ que será usado para vazar arquivos e expor as vítimas que não pagarem resgate. O DoppelPaymer é um ransomware que tem como alvo o segmento corporativo. Através do comprometimento de uma rede corporativa, obtém acesso a credenciais de administrador e, em seguida, implanta o ransomware na rede para criptografar todos os dispositivos. Como esses ataques criptografam centenas, senão milhares, de dispositivos, eles tendem a ter um enorme impacto e os invasores exigem um resgate muito alto.
Os operadores do ransomware afirmam que criaram o site como uma ameaça: as vítimas, se não pagarem o resgate, terão seus dados e nomes serão vazados. Eles disseram ao site BleepingComputer que este novo site está em “teste” e atualmente está sendo usado principalmente para constranger as vítimas e publicar alguns arquivos que foram roubados.
Atualmente, estão listadas na página quatro empresas que o DoppelPaymer afirma ter criptografado e que não pagaram o resgate. Além da estatal de petróleo do México, a Pemex, há uma empresa comercial sediada fora dos Estados Unidos, cujo valor do resgate é de 15 bitcoins (aproximadamente US$ 150 mil), e uma empresa francesa de hospedagem em nuvem e telecomunicações corporativas, cujo resgate é de 35 bitcoins (cerca de US$ 330 mil). Outra é uma empresa de logística e cadeia de suprimentos sediada na África do Sul, com um valor de resgate de 50 bitcoins (aproximadamente US$ 500 mil).
A Pemex foi atacada pelo DoppelPaymer em 10 de novembro de 2019. Os hackers exigiram 568 bitcoins (US$ 4,9 milhões à época) por um decodificador.