A empresa de gerenciamento de viagens CWT paga US $ 4,5 milhões para ter seus arquivos desbloqueados
Existem inúmeros estudos que usam um amplo espectro de métodos diferentes para calcular os custos de um ataque de ransomware para a vítima. Esses trabalhos de pesquisa levam em consideração uma série de fatores, mas a imagem nunca pode ser tão clara quanto é quando você vê o ataque se desenrolar em primeira mão. Na semana passada, Jack Stubbs, da Reuters, chegou o mais próximo possível disso. Ele conseguiu imagens de tela que mostram a comunicação entre operadores de ransomware e funcionários de uma empresa de gerenciamento de viagens chamada CWT, e agora pode nos dizer que, em termos puramente monetários, pelo menos, esse ataque custou US $ 4,5 milhões.
Índice
Ragnar Locker bate mal na CWT
Surpreendentemente ou não, a CWT não está particularmente interessada em falar sobre o incidente. Em comunicado à Reuters, a empresa disse que tudo voltou ao normal após um desligamento temporário de todos os seus sistemas. A investigação estava em seu estágio inicial quando a empresa conversou com a Reuters na semana passada, mas aparentemente, naquela época, não havia evidências de que nenhuma informação do cliente fosse exposta. O relatório de Jack Stubbs, no entanto, sugere que o incidente foi muito mais sério.
Segundo ele, a empresa de gerenciamento de viagens foi atingida pelo ragnomware Ragnar Locker. Como sempre, depois de criptografar toneladas de informações valiosas, o ransomware deixou uma nota, que incluía uma maneira de entrar em contato com os cibercriminosos responsáveis pelo ataque. A comunicação foi feita por meio de uma plataforma de mensagens instantâneas, e as capturas de tela mostram que, a princípio, os representantes da CWT não tinham certeza do que havia acontecido. Os criminosos disseram a eles que haviam criptografado os arquivos em mais de 30 mil dispositivos conectados à rede CWT e também haviam roubado cópias de demonstrações financeiras, dados pessoais de funcionários e outros documentos confidenciais.
Em outras palavras, o CWT não apenas precisava desbloquear seus arquivos para retomar a operação normal, mas também precisava se preocupar com o vazamento de toneladas de dados confidenciais pelos operadores de ransomware.
Os bandidos mostram alguma compreensão
Para recuperar seus dados e impedir um vazamento, a CWT precisava pagar US $ 10 milhões em bitcoins. Os criminosos apontaram, com razão, que, embora estejam pedindo uma quantia séria, o resgate provavelmente será consideravelmente menor do que os custos associados aos danos à reputação e às ações judiciais que poderiam seguir a exposição de informações.
A CWT não anunciou oficialmente se mantém ou não backups de seus dados, mas as imagens publicadas pela Reuters mostram que a empresa estava disposta a cooperar praticamente desde o início. O representante da CWT apontou, no entanto, que US $ 10 milhões são uma grande pedida, especialmente em meio a uma pandemia que está causando danos sem precedentes à indústria de viagens.
Notavelmente, os operadores de ransomware mostraram algum entendimento e concordaram em negociar um preço mais aceitável. Eventualmente, eles se estabeleceram com US $ 4,5 milhões.
As consequências de fazer negócios com os bandidos
A CWT ainda não publicou uma declaração oficial sobre o ataque, mas o relatório da Reuters sugere que o pagamento foi processado e a empresa recebeu sua chave de descriptografia. É óbvio que negociar com criminosos e pagar o resgate sempre deve ser o último recurso, e temos certeza de que a CWT esgotou todas as outras opções antes de concordar em transferir os bitcoins. Mesmo assim, o fato de a empresa ter sido atingida por isso mostra que não estava muito bem preparada para um ataque de ransomware, e isso deve afetar sua reputação. Há outro problema em potencial também.
Durante as negociações, os criminosos prometeram que, uma vez que recebessem o resgate, enviariam uma ferramenta de descriptografia e também excluiriam as informações que roubaram da CWT. Infelizmente, uma conversa anônima no bate-papo não é um documento legalmente vinculativo, especialmente quando a pessoa do outro lado do teclado se envolve em atividades criminosas cibernéticas. Os bandidos enviaram a ferramenta de descriptografia, mas ninguém pode dizer com certeza se cumpriram sua promessa e excluíram as informações roubadas. A CWT não tem outra escolha senão aceitar a palavra, o que, você poderia argumentar, nem sempre é a melhor estratégia.