Ransomware evoluiu da encriptação dos dados para publicação de informação confidencial
Ao longo dos últimos anos, os ataques generalizados de ransomware – cujo objetivo dos cibercriminosos é utilizar malware para encriptar os dados e solicitar um resgate para os devolver – foram substituídos por ataques direcionados contra empresas e indústrias específicas.
Os ataques de ransomware são considerados um dos tipos mais graves de ameaças que as empresas enfrentam. Não só podem perturbar operações comerciais críticas, como também podem levar a elevadas perdas financeiras - e, em alguns casos, podem levar à falência, devido a multas e processos judiciais resultantes da violação de leis e regulamentos. Por exemplo, estima-se que os ataques do ransomware WannaCry tenham causado mais de quatro mil milhões de dólares em perdas financeiras. Contudo, as novas campanhas de ransomware estão a modificar o seu modus operandi: ameaçam trazer a público as informações roubadas a empresas. Ragnar Locker e Egregor são duas conhecidas famílias de ransomware que praticam este novo método de extorsão.
O grupo de ransomware Ragnar Locker foi identificado pela primeira vez em 2019, mas só se tornou conhecido no primeiro semestre de 2020, quando atacou grandes organizações. Os ataques são muito seletivos e adaptados a cada vítima, e aqueles que se recusam a pagar as quantias exigidas pelos cibercriminosos vêem os seus dados confidenciais publicados na secção "Wall of Shame" do seu site de leaks. Se a vítima conversar com os atacantes e depois se recusar a pagar, esta conversa também é publicada. Os principais alvos deste grupo são empresas nos Estados Unidos em diferentes indústrias. Em julho deste ano, os membros do Ragnar Locker declararam que se tinham juntado ao grupo de ransomware Maze – uma das famílias de ransomware que mais se destacaram em 2020, o que significa que ambos irão colaborar e partilhar informações roubadas.
Já o Egregor é muito mais recente que o Ragnar Locker: foi descoberto pela primeira vez no passado mês de setembro. Contudo, utiliza muitas das mesmas táticas e partilha semelhanças de código com o Maze. Este malware é descarregado após uma violação de rede, e assim que os dados do alvo tenham sido roubados, dá à vítima apenas 72 horas para pagar o resgate antes que a informação roubada se torne pública. Se as vítimas se recusarem a pagar, os cibercriminosos publicam os nomes e links para descarregar os dados confidenciais da empresa no seu site de fugas de informação. O raio de ataque do Egregor é muito mais extenso do que o do Ragnar Locker. Tem atingido vítimas em toda a América do Norte, Europa e determinadas regiões da Ásia-Pacífico.
Os ataques estão a tornar-se altamente direcionados e o foco não está apenas na encriptação; em vez disso, o processo de extorsão baseia-se na publicação online de dados confidenciais. Isto coloca não só a reputação das empresas em risco, mas também dá entrada a processos judiciais se os dados publicados violarem regulamentos como o HIPAA ou o GDPR.
De facto, muitas vezes, o ransomware é apenas a fase final de uma violação de rede. Mas no momento em que o programa de ransomware é efetivamente implementado, os cibercriminosos já realizaram um reconhecimento da rede, identificaram os dados confidenciais e filtraram-nos. Por isso, é importante que as organizações implementem as melhores práticas de cibersegurança. Identificar o ataque numa fase inicial, antes de os atacantes atingirem o seu objetivo final, pode gerar uma poupança enorme de dinheiro.
Conte com o know how da ARTVISION, para verificar a segurança da sua organização e dos seus dados. Não corra riscos desnecessários.
Fonte: IT Insight