.
Todos os sinais indicam que isso é simplesmente uma farsa para assustar os tomadores de decisão da empresa e fazê-los pagar para evitar maiores consequências.
O webhost Threat Labs identificou um novo esquema de extorsão de dados direcionado a empresas. O golpe é projetado para parecer que vem de um ransomware ou gangue cibernética de extorsão de dados e é enviada por e-mail para funcionários de diferentes empresas, abordando-os pelo nome completo.
Nessa mensagem, eles informam que sua empresa sofreu uma violação de segurança e que uma grande quantidade de informações foi roubada – incluindo dados de Recursos Humanos – como registros de funcionários, dados pessoais e médicos. Os remetentes afirmam que são de um grupo de ransomware, como “Silent Ransom” ou “Lockffit”. Se lido rapidamente, o destinatário pode acreditar que o e-mail foi enviado pelo grupo de ransomware “LockBit”, conhecido por seus métodos agressivos de extorsão de dados.
Os cibercriminosos pedem aos funcionários que entrem em contato com seus gerentes e os informem sobre a situação. A mensagem deixa claro que eles têm todas as informações sobre sua empresa e seus clientes e ameaçam vender os dados para outros criminosos se não obtiverem resposta. Em seguida, mencionam as leis regulatórias de violação de dados (hoje em dia existem multas altíssimas para empresas que não protegem convenientemente seus dados).
Os criminosos fornecem um endereço de e-mail para contatá-los, aconselhando-os a enviar mensagens apenas pelo e-mail corporativo e fornecendo um número individual que deve ser adicionado a esse e-mail para manter o rastreamento adequado.
Embora as vítimas possam pensar que se trata de uma campanha de extorsão lançada por cibercriminosos depois de terem perpetrado um violação de dadostodos os sinais indicam que isso é simplesmente uma farsa para assustar os tomadores de decisão da empresa e fazê-los pagar para evitar maiores consequências, como ter seus dados vendidos no mercado negro, multas pesadas, clientes sabendo que seus dados foram roubados e assim por diante.
Esta é uma das mensagens que captamos:
Pode ser uma mensagem real de um determinado grupo cibercriminoso, embora existam alguns detalhes que nos levam a concluir que se trata apenas de uma farsa. Eles se apresentam como “Grupo Lockffit”, um grupo desconhecido que pode ser real ou não. Na mensagem há alguns erros de digitação, mas isso por si só não significa nada.
A tática é semelhante ao que alguns grupos de ransomware fazem para forçar as vítimas a pagar em troca não apenas de recuperar seus dados, mas também para evitar que suas informações confidenciais sejam vendidas ou tornadas públicas. No entanto, em um caso real de ransomware, os criminosos primeiro criptografam os dados da vítima, o que deixa claro que eles invadiram a rede da empresa. Nesse caso, eles não oferecem nenhuma prova além de ter o endereço de e-mail e o nome do destinatário da mensagem.
Não apenas isso, mas também capturamos outras mensagens direcionadas a diferentes organizações com exatamente o mesmo conteúdo (incluindo os mesmos erros de digitação!), mas alterando o nome e o endereço do destinatário, o e-mail para o qual devem escrever, a quantidade de dados roubados, o número individual e, às vezes, até o grupo cibercriminoso. Tudo aponta para ataques semiautomáticos onde os criminosos usam um banco de dados de endereços para enviar esses e-mails para a lista de alvos, apenas com algumas alterações, tática semelhante à usada em ataques de sextortion.
Esta é outra mensagem que interceptamos. Como podem ver, é quase idêntica à primeira mensagem, apesar de ser assinada por um grupo diferente:
.png?width=2061&height=1353&name=MicrosoftTeams-image%20(8).png)
O que fazer se você receber uma mensagem semelhante
1. Não entre em pânico. Os invasores sempre usarão o medo e o senso de urgência para nos forçar a tomar decisões precipitadas.
2. Informe o departamento da sua empresa responsável pela segurança de TI. Não responda à mensagem.
3. Se isso não for gerenciado centralmente pelo seu departamento de TI, certifique-se de ter sua solução antimalware atualizada. O webhost pode detectar esses golpes e cuide deles para você.
Não há mais nada a ser feito, pois não há malware envolvido e seu computador não está em risco. Como medida proativa, os CISOs e os departamentos de TI devem certificar-se de informar seus funcionários sobre a existência desse tipo de golpe e incentivá-los a denunciá-los quando receberem essa mensagem – e em nenhum caso responder a ela.
.
