Os operadores de ransomware agora podem roubar seus dados antes de criptografá-los
O Ransomware provou repetidamente ser uma das armas mais poderosas do arsenal dos criminosos cibernéticos. Inicialmente, os hackers precisariam criar sua própria família de malware de criptografia de arquivos, o que não é exatamente um passeio no parque, mas, no momento, é fácil alugar ou fazer o download de tipos gratuitos. A maioria dos usuários ainda não está totalmente ciente dos perigos que se escondem em todos os cantos da Internet, o que significa que as taxas de infecção geralmente são muito boas e a mesma falta de conhecimento significa que muitos não mantêm backups regulares de seus arquivos, o que, por sua vez, tem um efeito positivo no equilíbrio das carteiras de criptomoedas dos bandidos.
É um modelo de negócios testado e comprovado que funcionou para muitos. Isso não significa que a ameaça não esteja evoluindo. Longe disso, de fato.
No passado, o ransomware era usado principalmente em campanhas de pulverização e oração direcionadas principalmente a usuários domésticos. Nos últimos meses, no entanto, os cibercriminosos perceberam que os lucros de atingir grandes organizações poderiam ser maiores, e o foco mudou um pouco. Os especialistas em segurança cibernética descobriram agora outra tendência mais preocupante.
Índice
O Zeppelin ransomware rouba os dados das organizações antes de criptografá-los
No início de dezembro, os pesquisadores da Morphisec testemunharam um ataque a um cliente que trabalha no setor imobiliário. Após uma investigação mais aprofundada, eles perceberam que os hackers estavam tentando infectar a empresa com o ransomware Zeppelin, a versão mais recente da família de ransomware como serviço do VegaLocker. Os invasores estavam explorando um aplicativo de desktop remoto com o nome de ConnectWise Control (fka ScreenConnect) e, em geral, não havia nada de incomum na cadeia de infecção.
Os pesquisadores notaram, no entanto, que, uma vez que se encontrava em um dos servidores de banco de dados do Windows da vítima, o ransomware tentou criar uma cópia dos dados e enviá-los ao servidor Command & Control (C&C) dos criminosos. Depois disso, ele tentou se propagar mais abaixo na rede e finalmente implantou o módulo de criptografia de arquivos.
Em outras palavras, o Zeppelin ransomware tentou roubar os dados da empresa antes de bloqueá-los e guardá-los para resgate. Segundo Catalin Cimpanu, da ZDNet, isso está longe de ser a única linha de ransomware a empregar essas táticas. Ele disse que os invasores que usam as amostras de ransomware Maze, REvil e Snatch também se envolveram em atividades semelhantes. Mas por que eles decidiram de repente que essa é uma boa ideia?
Um mecanismo de restauração mais confiável
Se você pensar bem, para hackers, roubar os arquivos antes de criptografá-los e exigir um resgate faz muito sentido. Eles realmente correm o risco de levantar suspeitas ao tentar exfiltrar muitos dados, mas a probabilidade de serem pegos geralmente não é tão alta. E quando você examina as vantagens que a etapa adicional traz, você começa a se perguntar por que eles não pensaram nisso antes.
Em um ataque regular de ransomware, quando a vítima decide pagar o resgate, eles enviam bitcoins para a carteira dos criminosos e, em troca, esperam um programa que decodifique os arquivos bloqueados. Em alguns casos, os criminosos pegam o dinheiro e correm, mas há muitos operadores de ransomware que têm a intenção genuína de devolver os dados às vítimas depois de receberem o pagamento. Eles precisam escrever seus próprios decodificadores, e, infelizmente, às vezes cometem erros.
Já ouvimos muitas histórias de pessoas que perderam dados apesar de pagarem o resgate por causa de uma ferramenta de descriptografia com defeito. Os usuários são os que perdem dinheiro e dados, mas o impacto também é negativo para os criminosos, que não parecem muito confiáveis e, portanto, têm menos probabilidade de serem pagos por futuras vítimas.
Se os hackers tiverem uma cópia dos dados não criptografados, eles poderão simplesmente enviá-los de volta às vítimas após o pagamento e garantir que as coisas voltem ao normal de maneira relativamente simples.
Lembre-se, se a vítima tiver um backup, tudo isso seria inútil. A menos, é claro, que os hackers ameacem vazar os dados se o resgate não for pago.
Mais alavancagem de chantagem
Como já mencionamos, frequentemente, os alvos são grandes organizações. Os hackers não podem roubar fotos de férias ou selfies embaraçosos deles, mas podem filtrar segredos comerciais e outras informações extremamente valiosas. E quando a empresa atacada diz que não pagará porque possui backups, os criminosos podem facilmente ameaçar que ela vaze todos os dados confidenciais.
De acordo com o relatório da ZDNet, os operadores de ransomware já usaram os bancos de dados roubados como um segundo ponto de extorsão, e os criminosos que executam o ransomware Maze criaram um site no qual listam todas as empresas que se recusaram a pagar o resgate e posteriormente tiveram seus dados expostos por o grupo.
Deve-se dizer que nem todas as equipes de hackers são capazes de desencadear um ataque tão destrutivo. Se eles querem roubar e criptografar informações de muitos usuários ou empresas diferentes, precisarão de uma grande infraestrutura de C&C, que pode ser cara de configurar e manter. Aqueles que conseguirem definir a configuração correta, no entanto, terão uma vantagem definitiva.
