.
Uma empresa anônima da Fortune 50 pagou incríveis US$ 75 milhões a uma gangue de ransomware para impedir que vazasse terabytes de dados roubados.
A organização do submundo, que se autodenomina Dark Angels, não adota a abordagem de espingarda que muitas outras equipes de malware usam, na qual várias vítimas são infectadas ao mesmo tempo indiscriminadamente na esperança de que pelo menos algumas paguem. Nem os Dark Angels parecem usar afiliados ou ajuda externa para entrar nas redes.
Em vez disso, a unidade parece se concentrar em comprometer um grande alvo por vez, selecionando empresas para roubar dados que provavelmente assinarão um cheque alto para evitar que documentos roubados vazem online.
Por exemplo, em setembro de 2023, os Dark Angels usaram uma variante do RagnarLocker para criptografar dados do conglomerado internacional Johnson Controls e exigiram um resgate de US$ 51 milhões. A gangue, que estava usando anteriormente uma cepa do ransomware Babuk, alegou ter roubado pelo menos 27 TB de informações e atacou as máquinas virtuais da organização em execução no VMware ESXi.
Então, no início de 2024, a equipe conseguiu extrair US$ 75 milhões em criptomoedas de uma vítima, o maior pagamento conhecido publicamente desse tipo até o momento.
É o que diz a empresa de segurança de rede Zscaler em seu último relatório ThreatLabz sobre ransomware, e confirmado pelos observadores do blockchain Chainalysis.
Brett Stone-Gross, diretor sênior de inteligência de ameaças da Zscaler, disse O registro na quinta-feira, a gangue opera há apenas alguns anos. Stone-Gross disse que a equipe corrupta é “extremamente furtiva” e é paciente o suficiente para exfiltrar silenciosamente dezenas de terabytes ao longo de muitas semanas das vítimas.
Dark Angels consegue manter um perfil baixo e operar com sucesso trabalhando sozinho, e não com afiliados como outras gangues fazem, opinou Stone-Gross. Você é tão forte quanto seu parceiro mais fraco neste jogo. Se um afiliado atingir um hospital ou alguma outra infraestrutura crítica em seu nome, ou de outra forma iniciar algum drama inesperado, isso atrairá atenção indesejada, que é exatamente o que Dark Angels quer evitar.
Essa mudança de ataques de spray-and-pray por canalhas de ransomware para assaltos cibernéticos bem direcionados parece ser para onde o mundo do crime online está indo, sugeriu Stone-Gross. E a abordagem pode render grandes dividendos, particularmente quando o alvo tem seguro contra esses tipos de intrusões.
“Quando eles atacam empresas, eles buscam os dados relevantes e verificam quanto a apólice de seguro da empresa está preparada para pagar, seja US$ 5 milhões, US$ 10 milhões ou mais”, observou ele.
Quando atacam empresas, eles pesquisam e verificam quanto a apólice de seguro da empresa está definida para pagar
“Eles podem então dizer à vítima: ‘Sabemos o valor da sua apólice, pague até o limite’. As seguradoras também são um fator na decisão de pagar”, já que podem achar que é mais barato, a longo prazo, pagar e pelo menos obter alguma cooperação dos extorsionários do que tentar consertar tudo no escuro, acrescentou.
Por exemplo, se um pagamento não for feito e dados vazarem como resultado, isso pode intensificar a ação legal contra a vítima por seus próprios clientes ou parceiros, o que acontece nos EUA, onde os ataques de ransomware dobraram no ano passado, de acordo com a Zscaler. O Reino Unido viu os ataques aumentarem 50 por cento, nos disseram.
A Rússia não precisa se preocupar tanto quanto os outros, pois é lá que muitos operadores de ransomware estão baseados, e o Kremlin faz vista grossa para tudo isso se os alvos estiverem além de suas fronteiras.
Não se preocupe com a IA ainda
Stone-Gross observou que a Zscaler ainda não viu a inteligência artificial aumentar as táticas tradicionais de ransomware em escala; modelos de IA podem ser usados para automatizar ataques de engenharia social, por exemplo.
“Não estamos vendo deepfakes sendo usados com tanta frequência”, ele comentou. “É algo que esperamos que aumente, mas há medidas simples que você pode tomar contra isso.”
O ceticismo é o escudo sugerido por Stone-Gross. Ele citou a recente tentativa relatada contra a Ferrari, na qual um bandido usou um modelo de IA para simular a voz do CEO Benedetto Vigna em uma ligação telefônica na esperança de enganar um colega para transferir fundos para o fraudador.
A voz em si estava aparentemente correta, até mesmo acertando o sotaque do sul da Itália de Vigna. Mas havia sinais de alerta: a ligação veio de um número desconhecido, que o golpista tentou passar como necessário para garantir a confidencialidade. E o executivo que atendeu a ligação fez uma pergunta de teste: que livro Vigna recomendou a ele na semana anterior? A resposta, que somente Vigna poderia saber, era um tomo intitulado “Decálogo da Complexidade: Agir, Aprender e Adaptar no Incessante Tornar-se do Mundo”, de Alberto Felice De Toni.
O interlocutor desligou quando lhe pediram para nomear o livro – um exemplo de como essa técnica pode ser usada para confundir golpistas.
Stone-Gross alertou, no entanto, que outros golpes são muito mais prosaicos. A engenharia social usando uma pessoa real – como aconteceu nos recentes ataques de ransomware em Las Vegas – continua prevalente.
Zscaler observou algumas intrusões explorando falhas de dia zero, ele disse, mas a maioria dos ataques técnicos tem como alvo vulnerabilidades não corrigidas. Fique atualizado por aí. ®
.
