As gangues de ransomware passaram a quebrar a promessa de não vazar dados roubados depois que a vítima paga o resgate, alerta a Coveware. A empresa de segurança cibernética afirma em seu relatório referente ao terceiro trimestre que a exfiltração de dados agora faz parte de quase metade de todos os ataques de ransomware — usada para impulsionar a monetização entre as organizações vítimas de ataques que possuem backup.
No entanto, a tática agora atingiu um ponto de inflexão, com grupos como Sodinokibi, Maze, Netwalker, Mespinoza e Conti passando a publicar dados mesmo após o pagamento ou exigir um segundo resgate a ser pago para evitar a publicação, afirma a Coveware. Apesar de algumas empresas optarem por pagar os operadores de ameaças para não divulgarem dados exfiltrados, a fornecedora de software de segurança fiz ter verificado nos últimos tempos uma quebra nas promessas dos cibercriminosos de excluir os dados.
A Coveware orienta as organizações vítimas de ataques que pensem cuidadosamente sobre sua estratégia e responsabilidades no longo prazo ao formular uma resposta. “Isso inclui recorrer ao conselho de advogados de privacidade, realizar uma investigação sobre quais dados foram coletados e realizar as notificações necessárias que resultam dessa investigação e do advogado”, disse a empresa.
Veja isso
Tesouro dos EUA alerta que pagar resgate pode levar a sanções
Argentina se recusa a pagar resgate de US$ 4 milhões para hackers
Segundo a Coveware, pagar a um operador de ameaça não resolve nenhum dos itens acima e, dados os resultados recentes, pagar o cibercriminoso para não vazar dados roubados quase não traz nenhum benefício para a vítima. O relatório da empresa revela que o tempo de inatividade, ataques baseados em Remote Desktop Protocol (RDP), pagamentos médios e a porcentagem de ataques envolvendo exfiltração aumentaram no terceiro trimestre de 2020.
A interrupção dos negócios agora é de 19 dias, um aumento de 19% em relação ao segundo trimestre, enquanto o pagamento médio aumentou 31%, para cerca de US$ 234 mil, à medida que os invasores cada vez mais visam empresas maiores. Eles perceberam nos últimos meses que fazer isso aumentará significativamente as margens sem aumentar os custos operacionais ou riscos, diz o relatório.
No entanto, apesar dos ataques a grandes marcas, as pequenas e médias empresas são desproporcionalmente afetadas por ransomware: organizações com até 100 funcionários foram responsáveis por 32% dos ataques no terceiro trimestre, enquanto aquelas com até mil funcionários responderam por 73%.
O RDP continua a ser o principal vetor de ataque para grupos de ransomware e, com o fornecimento de credenciais comprometidas excedendo a demanda, as barreiras de entrada continuarão a cair, permitindo que cibercriminosos menos sofisticados tecnicamente se envolvam em ransomware, alerta Coveware.
“Até que as empresas prestem atenção ao risco de uma conexão RDP indevidamente protegida, esse vetor de ataque continuará a ser o alvo mais econômico para os agentes de ameaças de ransomware explorarem”, afirma.