Embora esse tipo de ameaça já tenha sido feito no passado, apenas recentemente os operadores de ransomware passaram a cumprir a intimidação
Os hackers que operam o REvil Ransomware, também conhecido como Sodinokibi, anunciaram que usarão arquivos e dados roubados como alavanca para fazer com que as vítimas paguem resgates. Embora esse tipo de ameaça já tenha sido feito no passado, apenas recentemente os operadores de ransomware, como o Maze, passaram a cumprir a intimidação.
Em uma nova postagem em um fórum russo sobre malware e hacking compartilhado, o representante do REvil, conhecido como UNKN, afirma que uma nova “divisão” foi criada para grandes operações.
Uma operação recente desse grupo é o ataque contra a CyrusOne, uma das maiores operadoras de data center no mundo, ocorrido na semana passada. Como parte dessa operação, o UNKN alega que eles roubaram arquivos da empresa antes de criptografar sua rede.
Os operadores do REvil continuam dizendo que, se a empresa não pagar o resgate, divulgarão os dados roubados ou os venderão aos concorrentes. Eles avaliam que isso sairia mais caro para a vítima do que pagar o resgate.
Confira, a seguir, tradução em inglês via Google Translate do pedido de resgate:
Ataques de ransomware são violações de dados
Não é segredo que os operadores de ransomware bisbilhotam os dados da vítima e, em muitos casos, o roubam antes que sejam criptografados. Mas até agora eles nunca haviam realmente executado suas ameaças de publicá-los.
Tudo isso mudou no fim de novembro, quando o Maze Ransomware ameaçou a Allied Universal que, se não pagassem o resgate, liberariam seus arquivos. Quando se certificaram que não receberiam o pagamento, divulgaram 700 MB de dados em um fórum de hackers.
Durante ataques de ransomware, alguns atores de ameaças disseram às empresas que estão familiarizados com seus segredos internos devido ao acesso aos arquivos. Embora isso deva ser considerado uma violação de dados, muitas vítimas de ransomware simplesmente varrem o ocorrido para debaixo do tapete, na esperança de que ninguém nunca fique sabendo. Mas, agora que os operadores de ransomware estão liberando os dados das vítimas, isso precisará mudar e as empresas terão que tratar esses ataques como violações de dados.
Isso ocorre porque registros médicos de funcionários, informações pessoais, cartas de rescisão, salários e muito mais podem ser potencialmente divulgados. Além disso, se qualquer informação de terceiros for roubada, o que é altamente provável, isso também requer divulgação adicional. É muito cedo para dizer se essas novas táticas levarão as empresas a tratar ataques de ransomware como violações de dados, mas, à medida que mais desenvolvedores de ransomware publicam documentos roubados, há o risco de que as ações judiciais aumentem.
