Uma nova tática vem sendo usada desde agosto por gangues de ransomware como Sekhmet, Maze, Conti e Ryuk. Para pressionar suas vítimas, os hackers agora ligam para a empresa se suspeitarem que ela está tentando restaurar seus backups para evitar pagar resgate para recuperar seus dados.
O método utilizado por hackers foi detectado pela empresa de segurança cibernética Emsisoft. “Achamos que é um grupo de call center terceirizado que está trabalhando para todos [as gangues de ransomware], pois os modelos e scripts são basicamente os mesmos”, disse Bill Siegel, CEO e cofundador da empresa de segurança cibernética Coveware ao site ZDNet.
A Emsisoft disse que também identificou os mesmos modelos de script em ligações recebidas por seus clientes.
De acordo com uma ligação gravada feita em nome da gangue de ransomware Maze, os hackers tinham um sotaque pesado, o que sugere que não nativos do idioma inglês.
Veja isso
Novo ransomware Egregor opera com ataques de dupla extorsão
Endemol Shine, a produtora do Big Brother, sofre ataque de ransomware
Segue abaixo a transcrição de uma chamada, fornecida por uma das empresas de segurança como exemplo, com os nomes das vítimas removidos:
“Estamos cientes de uma empresa de TI terceirizada trabalhando em sua rede. Continuamos monitorando e sabemos que você está instalando o antivírus SentinelOne em todos os seus computadores. Mas você deve saber que isso não vai ajudar. Se você quiser parar de perder tempo e recuperar seus dados esta semana, recomendamos que discuta a situação conosco via chat ou os problemas com a sua rede nunca terão fim.”
O uso de chamadas telefônicas é outra escalada nas táticas usadas por gangues de ransomware para pressionar as vítimas a pagarem os pedidos de resgate depois de criptografarem as redes corporativas.
As táticas anteriores incluíam o uso de pedidos de resgate, que dobram de valor se as vítimas não pagassem durante um período estipulado, ameaças de notificação a jornalistas sobre a violação da empresa vítima ou ameaças de vazamento de documentos confidenciais nos chamados “sites de vazamento” se as empresas não concordassem em pagar.
No entanto, embora esta seja a primeira vez que várias empresas de cibersegurança tenham detectado gangues de ransomware ligando para as vítimas para assediá-las, esta tática não é tão incomum. Em abril de 2017, o grupo Action Fraud do Reino Unido emitiu comunicado a escolas e universidades que gangues de ransomware estavam ligando para seus escritórios, fingindo ser funcionários do governo e tentando enganar funcionários de escolas para que abrissem arquivos maliciosos que levassem a infecções por ransomware. Com agências de notícias internacionais.