Malware extrai grandes quantidades de informações e ameaça publicá-las para assegurar o pagamento de resgate
A utilização de uma nova tática de ransomware, conhecida como “dupla extorsão”, em que cibercriminosos adicionam uma etapa extra ao ataque. Antes de criptografar a base de dados das vítimas, eles conseguem extrair grande quantidade de informações confidenciais para ameaçá-las com a publicação desses dados, a menos que seja pago resgate.
Para demonstrar que a ameaça é séria, os cibercriminosos filtram uma pequena parte da informação crítica na dark web, de modo a aumentar o nível de intimidação caso o resgate não seja pago.
Pesquisadores da Check Point Software Technologies verificaram que o primeiro caso divulgado de ataque de ransomware de dupla extorsão aconteceu em novembro do ano passado e envolveu a Alliad Universal, empresa americana que fornece soluções, sistemas e serviços de segurança.
Veja isto
Saúde é o maior alvo de crime cibernético em todo o mundo
Dispositivos médicos estão sob grande risco nos hospitais
Quando as vítimas se negaram a pagar o resgate solicitado, no valor de 300 bitcoins (aproximadamente US$ 2,3 milhões), os cibercriminosos, valendo-se do ransomware Maze, ameaçaram utilizar a informação confidencial, os certificados de e-mail e os nomes de domínio roubados para elaborar uma campanha de spam com a identidade da empresa. Ao mesmo tempo, publicaram uma amostra dos arquivos roubados que incluíam contratos, registros médicos, certificados de encriptação, entre outros dados.
Desde então, por meio do Maze foram publicados os detalhes de dezenas de empresas, escritórios de advocacia, prestadores de serviços médicos e seguradoras que não cederam aos pedidos de resgate. Estima-se que muitas outras empresas tenham evitado a publicação de seus dados confidenciais pagando o resgate exigido.
“A dupla extorsão é uma tendência em voga entre os ataques de ransomware. Ao filtrar a informação confidencial na dark web como uma amostra de que a ameaça é séria, os cibercriminosos exercem muito mais pressão sobre suas vítimas”, afirma Lotem Finkelsteen, diretor de Threat Intelligence da Check Point. “Esta variante de ciberameaça é especialmente preocupante para os hospitais, uma vez que, ao estarem totalmente voltados para o atenidmento de pacientes de coronavirus, seria muito complicado enfrentarem um ataque com essas características.”
A atual situação do setor de saúde é de saturação devido à concentração de todos os seus esforços no combate a covid-19, e faz com que tenham poucos recursos técnicos e de pessoal disponíveis para otimizar os seus níveis de cibersegurança.
