Comentário Hoje em dia está ficando difícil encontrar um grupo de ransomware que não roube dados e prometa não para vendê-lo se um resgate for pago. Além disso, esses criminosos estão seguindo o caminho da extorsão e nem se preocupam em embaralhar seus arquivos com criptografia.
Como apontamos antes, descartando toda essa criptografia complicada e apenas exfiltrando informações, os criminosos não precisam se preocupar em escrever malwares complexos apoiados por uma infraestrutura de back-end, armazenar e vender chaves de descriptografia e todas as outras etapas que acompanham o ransomware clássico. Roubo de dados e extorsão é mais limpo e fácil.
A equipe Lapsus$ entrou em cena no início deste ano como uma gangue apenas de extorsão, atingindo o governo do Brasil antes de atingir empresas de alto perfil como Nvidia, Okta e Samsung. Karakurt é outra nova equipe de extorsão que exigiu pagamentos de até US$ 13 milhões e pode estar envolvida com a gangue Conti ransomware-as-a-service (RaaS).
Uma categoria própria
Vale a pena fazer uma distinção entre infecções clássicas de ransomware e roubos de dados por extorsionários, Claire Tills, uma engenheiro de pesquisa sênior da Tenable, acredita.
Tratar o ransomware e o roubo de dados separadamente, em vez de agrupar tudo, dará às pessoas uma ideia melhor de quais tipos de ataque são mais prevalentes agora, como eles acontecem e como detê-los, quais devem ser suas prioridades com suas defesas de TI e restauração de dados e assim por diante.
” Há valor em ter uma categoria separada para examinar ataques somente de extorsão versus ransomware”, disse Tills, observando aquela notória gangue de RaaS, LockBit, emitiu diretrizes para afiliados que incluíam não usar criptografia de arquivos novamente st organizações em setores como saúde. Embaralhar documentos em hospitais pode impedir que as pessoas sejam tratadas e atrasar procedimentos e medicamentos. Em geral, por exemplo, a exfiltração não é tão destrutiva ou disruptiva quanto o ransomware e não requer restauração de backups, mas pode ser bastante prejudicial se os dados vazarem.
“O fato de a LockBit ter exigido ataques somente de extorsão para alvos específicos prova que há valor em analisar a diferença entre malware de criptografia e ‘estamos apenas roubando dados e ameaçando vendê-los’
“As táticas são diferentes, a psicologia é diferente, e a disrupção para as empresas é diferente porque se eles estão criptografando seus sistemas, é uma mentalidade totalmente diferente no lado da resposta versus se eles estão ameaçando vender seus dados confidenciais.”
Programa Nacional de Conscientização sobre Segurança Cibernética 18 anos depois: Não clique nisso Noberus ransomware obtém atualizações de roubo de informações, visa o software de backup da Veeam Entre ransomware e eng de um mês mentos, as equipes de RI precisam de um abraço – e uma soneca Moody’s aumenta o calor Setores ‘mais arriscados’ para ataques cibernéticos
Equipamento de segurança cibernética A Digital Shadows já faz essa distinção em seus relatórios trimestrais de ransomware, excluindo os números de grupos apenas de extorsão, disse um de seus analistas de inteligência Ivan Righi.
“Grupos de ransomware podem causar interrupções nas redes das vítimas, o que pode resultar em danos significativos ou perdas financeiras”, ele disse, observando o risco particular para organizações em setores críticos, como visto no ataque Colonial Pipeline no ano passado. “Os grupos de extorsão também representam uma grande ameaça, mas esses ataques provavelmente não causarão interrupções.”
“Conhecer as diferenças pode ajudar os defensores a se prepararem e responderem melhor aos riscos colocados por esses atores de ameaças”, disse Righi.
O lado psicológico das ameaças
Existem também as diferentes pressões psicológicas sobre as organizações, disse Tills. Com o ransomware, o medo é a perda de dados e o impacto nas operações. Com a extorsão, há também a ameaça de clientes, parceiros, analistas e a mídia saberem sobre o ataque quando os dados são despejados online. Os extorsionários também podem entrar em contato e pressionar os clientes e parceiros das vítimas a incitar as vítimas a jogar bola e pagar o dinheiro do silêncio. Isso causa mais dor.
“Eles dizem: ‘Se entrarmos em contato com seus clientes a partir desses dados que temos, sabemos que seus clientes ligarão para o suporte ao cliente ,’” ela disse. “Agora não é apenas uma questão de TI. É uma questão de suporte ao cliente e depois será de relações com investidores, será de relações públicas.”
Também , embora as equipes de segurança tomem medidas para proteger contra ransomware e extorsão, a remediação é diferente, disse Timothy Morris, consultor-chefe de segurança da Tanium.
“Com o primeiro, plano para restaurar os dados destruídos ou pagar o resgate para recuperá-lo”, disse Morris.
“Para o último, é um pesadelo de relações públicas. Você não pode colocar a pasta de dente de volta no tubo, então há mais risco de calcular. Pague a taxa de extorsão e espere que os criminosos excluam os dados … pague a taxa de extorsão e os dados vazarão de qualquer maneira, além do dano à reputação e da responsabilidade legal resultante de qualquer um deles.”
Adicionar nuances à conversa pode ser importante para as equipes de segurança enquanto planejam sua defesa.
Eles podem dizer “‘aqui está o que fazemos para ransomware e ouvir são os resultados [and] aqui está o que devemos esperar’ e, em seguida, ‘Aqui está apenas extorsão. Aqui está a ameaça, aqui está o risco, aqui estão os resultados para nossos comportamentos’”, disse Tills. ) Você pode agradecer ao Maze
A tendência de dupla extorsão do ransomware começou em 2020 com a equipe do Maze, o primeiro a não apenas criptografar os dados da vítima, mas também roubá-los e ameaçar divulgá-los publicamente se o resgate não for pago.
“A influência do labirinto na atual O estado do ransomware não deve ser subestimado”, escreveram os pesquisadores do Rapid7 em um relatório em julho.
Também deu aos cibercriminosos outra maneira de pressionar as organizações que podem ter usado backups de dados e outras ferramentas. Se você fosse organizado o suficiente para poder restaurar os dados codificados por conta própria, a ameaça de vazamento vai pressioná-lo a pagar de qualquer maneira. ift para ataques somente de extorsão é uma evolução natural.
Em um relatório deste ano, a equipe da Tenable escreveu que “a dupla extorsão é a chave para o sucesso atual do ransomware. ” Isso levou os grupos de ransomware a adicionarem outras táticas de extorsão e “alguns chamaram essas táticas de ‘extorsão tripla’ ou ‘extorsão quádrupla’, embora seja qual for o nome que você escolher, essas táticas permanecem parte da mesma árvore de extorsão.”
Um caminho mais fácil
Extorsão é um caminho mais fácil para bandidos, disse Morris. O vazamento das informações do Conti este ano mostrou o quão organizados e complexos esses grupos de ransomware podem ser. A extorsão não requer operações tão complicadas e os invasores não precisam lidar com outros grupos.
“Ransomware complica as coisas para os agentes de ameaças”, disse ele . “Eles devem lidar com a logística das chaves, além de questões em que a criptografia ou descriptografia não funciona, criando dores de cabeça de suporte técnico e má reputação … A administração das chaves para ransomware pode envolver outros afiliados dentro das gangues criminosas. Não lidar com essas afiliadas tem suas vantagens.”
Dito isso, Morris não está convencido de que apenas extorsão precisa de sua própria categoria.
“Ransomware, extorsão (para evitar o vazamento de dados da empresa) e extorsão (para evitar o vazamento de dados individuais) são formas de extorsão na minha opinião”, disse ele. “Vale a pena acompanhar as tendências de pagamentos de resgate mais baixos e aumentar os valores de extorsão.”
Se os grupos apenas de extorsão obtêm sua própria categoria, a tendência de extorsão entre os grupos de ameaças continuará, disse Tills, da Tenable.
“Veremos mais grupos se especializando”, disse ela.
“Acho que nunca se tornará universal. Sempre haverá aqueles grupos de pau para toda obra que simplesmente entram e puxam o que quiserem. Mas nos últimos seis meses, vimos mais grupos se filtrando em pura extorsão porque é mais fácil, mais rápido, pode ser um volume maior. Eles não precisam trabalhar com afiliados. Eles podem trabalhar diretamente com corretores de acesso inicial. Eles podem fazer tudo sozinhos.
“Não há tanta infraestrutura e burocracia quanto você tinha com os grupos de ransomware, então acho que continuaremos vendo isso [grow]. Mas sempre haverá grupos que meio que flutuam nesse meio, tornando as coisas estranhas.”
