A nova estratégia dos invasores: publicações confidenciais. Os cibercriminosos estão atacando cada vez mais empresas e setores selecionados como parte de campanhas direcionadas. Os dados confidenciais não são mais apenas criptografados – em vez disso, há ameaças de publicação na Internet. De acordo com a Kaspersky, é assim que o ransomware 2.0 se parece.
Ataques recentes de ransomware mostram que os cibercriminosos estão mudando de estratégia: eles estão mudando da criptografia pura para ataques direcionados com a ameaça de publicação de dados confidenciais se o resgate não for pago. Esta é a conclusão que os especialistas da Kaspersky chegaram ao analisar as duas famílias de ransomware, Ragnar Locker e Egregor.
Novas estratégias de ataque de ransomware
Compromissos com demandas de resgate, os chamados ataques de ransomware, são comumente considerados cenários de ataque sério. Eles não apenas podem interromper operações críticas de negócios, mas também podem resultar em grandes perdas financeiras e, em alguns casos, até mesmo levar à falência a organização afetada por meio de multas e ações judiciais. Estima-se que ataques como o WannaCry tenham causado mais de US$ 4 bilhões em perdas financeiras. No entanto, campanhas de ransomware mais recentes estão mudando seu modus operandi: elas ameaçam expor informações roubadas da empresa ao público. Dois representantes bem conhecidos deste novo tipo de ransomware: Ragnar Locker e Egregor
Como Ragnar Locker e Egregor procedem
O Ragnar Locker foi descoberto em 2019, mas só ganhou destaque no primeiro semestre de 2020, quando grandes corporações foram visadas. Os ataques são altamente direcionados, com cada atividade maliciosa adaptada à vítima pretendida. Ao fazer isso, as informações confidenciais das empresas que se recusam a pagar são publicadas na página do Muro da Vergonha dos cibercriminosos. Se a vítima se comunicar com os atacantes e depois se recusar a pagar, esse chat também será publicado. Os principais alvos são empresas nos EUA de diferentes setores. Em julho passado, Ragnar Locker anunciou que havia se juntado ao cartel de ransomware Maze. Isso significa que desde então houve uma troca de informações roubadas e colaboração concreta entre os dois. O Maze se tornou uma das famílias de ransomware mais conhecidas em 2020.
A vítima tem apenas 72 horas
Egregor foi descoberto pela primeira vez em setembro passado. O malware usa muitas táticas idênticas e também compartilha semelhanças de código com o Maze. Geralmente é implementado quebrando a rede; depois que os detalhes da empresa-alvo são filtrados, a vítima tem 72 horas para pagar o resgate antes que as informações roubadas se tornem públicas. Se a organização afetada se recusar a pagar, os invasores publicam o nome e os links para baixar os dados confidenciais da empresa em sua página de vazamento.
O raio de ataque de Egregor é muito maior que o de Ragnar Locker. Os cibercriminosos por trás desse ransomware têm como alvo vítimas na América do Norte, Europa e partes da APAC.
Ransomware 2.0 em alta
“Estamos testemunhando o surgimento do ransomware 2.0, o que significa que os ataques estão se tornando mais direcionados e o foco não está mais apenas na criptografia de dados confidenciais, mas no conceito de publicá-los online”, comenta Dmitry Bestuzhev, chefe da equipe global de pesquisa e análise (GReAT) América Latina na Kaspersky. Isso não apenas põe em risco a reputação de uma empresa, mas também cria o risco de ações judiciais se os dados publicados violarem regulamentos como HIPAA (Health Insurance Portability and Accountability Act) ou GDPR. Portanto, há mais em jogo do que apenas uma perda financeira."
"Como resultado, as organizações não podem mais ver as ameaças de ransomware de forma unidimensional como apenas um tipo de malware", acrescenta Fedor Sinitsyn, pesquisador de segurança da Kaspersky. “Na verdade, o ransomware geralmente é apenas o último estágio do comprometimento da rede. No momento em que o ransomware é executado, o invasor já vasculhou toda a rede, identificou dados confidenciais e os extraiu. É importante que as organizações implementem toda a gama de práticas recomendadas de segurança cibernética. A detecção precoce de ataques cibernéticos, antes que os invasores atinjam o alvo pretendido, pode economizar muito dinheiro para as empresas.”
Mais sobre isso no SecureList em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/