.
A CDW, uma das maiores revendedoras do planeta, terá seus dados vazados pela LockBit após o fracasso das negociações sobre a taxa de resgate, disse um porta-voz da gangue do crime cibernético.
Falando com Strong The Oneo porta-voz, que usa o pseudônimo LockBitSupp, deu a entender que durante as negociações o CDW ofereceu uma quantia tão baixa que insultou os bandidos.
“Nós os publicamos porque no processo de negociação uma empresa de US$ 20 bilhões se recusa a pagar o dinheiro adequado”, disse a fonte.
“Assim que o tempo acabar você poderá ver todas as informações, as negociações terminaram e não estão mais em andamento. Recusamos o valor ridículo oferecido.”
A LockBit não respondeu a perguntas relacionadas ao pedido de resgate original ou ao que o CDW ofereceu nas negociações. Também evitou questões sobre a natureza dos dados roubados e quais métodos foram usados para violar a empresa.
De acordo com a contagem regressiva no blog da vítima do LockBit, os arquivos do CDW estão programados para serem publicados nas primeiras horas da manhã de 11 de outubro.
A CDW ainda não comentou o incidente, que parece estar em andamento desde pelo menos 3 de setembro, quando a empresa foi postada pela primeira vez no blog da LockBit.
Strong The One entrou em contato com a CDW para maior clareza, mas a empresa não ofereceu uma resposta.
Sua resposta automática por e-mail diz: “Obrigado por entrar em contato com a CDW. Sua consulta foi recebida e será analisada. Caso haja adequação ou interesse em nos envolvermos mais, entraremos em contato o mais breve possível.”
O Gabinete do Comissário de Informação do Reino Unido (ICO) confirmou que não recebeu um relatório de violação do CDW.
O analista e pesquisador de segurança cibernética Dominic Alvieri disse que a empresa foi tecnicamente postada no blog da LockBit três vezes no total. Foi originalmente “flasheado” – uma tática que envolve a rápida postagem e exclusão de uma empresa para encorajar uma resposta rápida da vítima.
“Quando os prazos chegam e vão, é um sinal de que a empresa está negociando ou pelo menos reconheceu o incidente”, disse ele.
“A repostagem geralmente é a fase final. O processo de resgate pode levar semanas/meses.”
Postar uma empresa no blog de uma vítima várias vezes não é algo que acontece em todos os casos, mas é uma tática agressiva conhecida adotada por grupos de ransomware para acelerar as negociações, disseram especialistas. Strong The One.
“Os grupos de ransomware estão a intensificar as suas táticas para forçar as vítimas a pagar rapidamente e tudo isto faz parte do seu modelo de negócio para extorquir mais dinheiro em tempo útil aos seus alvos”, disse Jake Moore, consultor global de segurança cibernética da ESET.
“A LockBit já usou táticas de pressão para forçar outras vítimas de seus ataques, a fim de acelerar negociações de resgate para finalmente pagar e com sucesso variável.
“Há sempre uma hipótese, no entanto, de que esta seja uma tática usada para forçar as vítimas a agir rapidamente, embora não haja substância real na alegação original.
“Esta é a aposta comum feita entre os cibercriminosos e suas vítimas, onde um movimento errado e uma cara de pôquer podem custar às empresas enormes quantias em pagamentos de resgate e mais problemas subsequentes devido ao vazamento de dados à vista do público”.
Um exemplo histórico de LockBit estabelecendo prazos e não despejando os dados roubados foi durante o ataque ao Royal Mail International no início deste ano.
O prazo foi fixado para 13 de fevereiro e nenhum dado foi publicado. Um dia depois, em vez de tornar públicos os dados roubados da Royal Mail International, a LockBit publicou o histórico completo de negociações entre ela e a empresa na forma de um registro de bate-papo para download.
Os registros de bate-papo revelaram que o pedido de resgate foi originalmente definido em US$ 80 milhões, oferecendo posteriormente um desconto de 50% depois que a empresa classificou as exigências como “absurdas”.
Na época, a divulgação dos logs de chat foi vista como um exemplo dessas táticas de intimidação. Após a contínua recusa de pagamento do Royal Mail, a LockBit acabou escalonando a publicação de seus dados, muitos dos quais incluíam informações de funcionários, em 10 lixões separados.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) tem uma posição de longa data contra pagando resgates aos cibercriminosos.
Em um estudar pela empresa de segurança CyberEdge, descobriu-se que menos da metade das empresas que pagam resgates recuperam todos os seus dados.
Nas negociações do Royal Mail, a transcrição mostra o negociador tentando convencer o LockBit a entregar dois arquivos como prova de que o descriptografador dos criminosos funcionou.
A LockBit percebeu depois de alguns dias que os dois arquivos teriam permitido ao Royal Mail recuperar totalmente seus sistemas sem pagar pelo descriptografador.
Perto do final das negociações, onde o Royal Mail pareceu protelar o LockBit o máximo que pôde, dizendo que estava esperando que seu conselho decidisse se pagaria a taxa de resgate com desconto, o LockBit ficou frustrado com as táticas e publicou os dados após dias após a falta de resposta do Royal Mail.
As mentiras do LockBit e outras táticas estranhas
Ao longo dos anos, a LockBit foi acusada de orquestrar várias “acrobacias de relações públicas” para causar confusão e aumentar seu nível de notoriedade.
Isso incluiu ataques de ransomware “falsos” em grandes organizações, postando seus detalhes no site da LockBit junto com uma contagem regressiva para indicar a data de publicação dos arquivos roubados, assim como acontece com vítimas genuínas.
Um exemplo ocorreu em junho de 2022, quando alegou ter violado a Mandiant, especialista em resposta a incidentes. Normalmente, a contagem regressiva passou dias chegando a zero, e o que foi publicado não foram os dados que alegou ter roubado da empresa, mas sim uma resposta às alegações de que o grupo estava ligado ao grupo sancionado de crimes cibernéticos Evil Corp.
“O golpe de relações públicas provavelmente foi orquestrado pela LockBit porque uma associação de suas atividades à Evil Corp poderia ter consequências financeiramente devastadoras para suas operações”, disse ReliaQuest em um comunicado. postagem no blog.
“Pagar resgates a estes grupos de ameaças cibernéticas ainda não é ilegal na maioria dos países; no entanto, uma associação formalizada com a Evil Corp tornaria esses pagamentos potencialmente fora da lei, com implicações civis e criminais significativas para as organizações neles envolvidas.
“Dado que o LockBit é um dos grupos de ransomware mais prolíficos em atividade no momento, é provável que eles pretendam continuar suas operações de ransomware altamente bem-sucedidas e lucrativas nos próximos meses”.
A LockBit repetiu o mesmo truque mais tarde naquele ano, desta vez contra a multinacional francesa de TI Thales. Embora no caso de Thales tenha sido apenas meia mentira.
Na altura, as declarações públicas da Thales negaram repetidamente provas de uma intrusão de TI, mas em 10 de novembro de 2022 – três dias depois de a LockBit ter prometido publicar os seus dados – a Thales confirmou que os dados tinham sido roubados e publicados.
No entanto, afirmou que o roubo foi realizado por “duas fontes prováveis”, uma das quais foi “confirmada através da conta de usuário de um parceiro em um portal de colaboração dedicado”, e a outra era desconhecida. ®
.
