Pesquisadores de segurança delinearam uma nova tendência de ransomware que eles têm observado - extorsão tripla.
De acordo com o último relatório de ransomware da Check Point, operadores de ransomware agora contam com a chamada extorsão tripla, onde eles estão exigindo pagamentos de resgate dos clientes da vítima, parceiros, e outros terceiros relacionados ao ataque inicial.
Como o ransomware mudou completamente 2020 e 2021?
“O sucesso da extorsão dupla em toda 2020, mais notavelmente desde a explosão da pandemia Covid-19, é inegável. Embora nem todos os incidentes - e seus resultados - sejam divulgados e publicados, estatísticas coletadas durante 2020-2021 refletem a proeminência do vetor de ataque, “Os pesquisadores notaram.
No 2020, o pagamento médio do resgate aumentou pela impressionante 171%, o que equivale a aproximadamente $310,000. Mais de mil empresas sofreram vazamento de dados após se recusarem a pagar, e 40% de famílias de ransomware recém-descobertas adicionaram infiltração de dados ao seu arsenal de ataque.
“Como os números refletem uma técnica de ataque de ouro, que combina ambos, uma violação de dados e uma ameaça de ransomware, está claro que os invasores ainda procuram métodos para melhorar suas estatísticas de pagamento de resgate, e sua eficiência de ameaças,”Explicou o Check Point.
A tendência do Triple Extortion Ransomware
disse brevemente, extorsão tripla é a expansão da técnica de extorsão dupla, que integra uma ameaça adicional ao processo (daí o nome). O primeiro ataque de ransomware que ilustra a técnica ocorreu em outubro 2020. A clínica Vastaamo finlandesa teve seus sistemas internos acessados e os dados de seus 400 funcionários e aproximadamente 40,000 pacientes roubados.
“O extorsionário, que atendia pelo nome de “RANSOM_MAN,”Alegou que publicariam os dados de 100 pessoas a cada dia em seu próprio servidor de arquivos Tor até receberem o bitcoin de Vastaamo. Como a empresa resistiu, “RANSOM_MAN” publicou os dados pessoais de 300 pessoas, incluindo várias figuras públicas e policiais,”Wired escreveu em um artigo detalhando o ataque devastador. além do que, além do mais, o operador de ransomware também exigiu quantias menores de dinheiro dos pacientes da clínica. O ataque a Vastaamo é o primeiro do tipo tripla extorsão.
Então, em fevereiro deste ano, a gangue REvil / Sodinokibi anunciaram que adicionaram dois estágios ao seu esquema de resgate regular - ataques DDoS e ligações para os parceiros de negócios da vítima e para a mídia. É digno de nota que o grupo REvil agora está oferecendo serviços DDoS e chamadas VoIP codificadas por voz para jornalistas e colegas de vítimas como um serviço gratuito adicionado ao seu pacote RaaS. Esta técnica visa aumentar as chances de pagamentos de resgate dentro do prazo determinado.
“Terceiras vítimas, como clientes de empresa, colegas externos e prestadores de serviços, são fortemente influenciados, e danificados por violações de dados causadas por esses ataques de ransomware, mesmo que seus recursos de rede não sejam direcionados diretamente,”Check Point adicionado.
O Ataque Colonial do Oleoduto
O ataque mais devastador registrado até agora este ano é contra o Oleoduto Colonial. Notícias recentes indicaram que A Colonial Pipeline pagou um resgate no valor de $5 milhão para o coletivo de ransomware DarkSide. O ataque devastador também criou volatilidade nos preços dos combustíveis na Costa Leste. Assim que o resgate foi pago, os operadores DarkSide forneceram à empresa uma ferramenta de descriptografia para devolver à vida sua rede de computadores desativada. Contudo, a ferramenta era tão lenta que a Colonial Pipeline teve que usar seus próprios backups para ajudar a restaurar o sistema, uma pessoa próxima aos esforços da empresa disse.