Autores de Ransomware divulgando dados de vítimas que não estão pagando o resgate
Ficar infectado com um ransomware pode ser muito destrutivo para uma empresa ou organizações governamentais, no entanto, os desenvolvedores de criminosos cibernéticos estão tentando piorar ainda mais os usuários vitimados. Depois que um ransomware criptografa os arquivos e dados cruciais dos usuários armazenados em seus sistemas, ele mantém todos os dados como reféns até que as vítimas paguem aos atacantes uma soma de resgate para desbloqueá-los. Mas agora, eles também ameaçam revelar os dados vitais on-line se o resgate não for feito a tempo.
Em dezembro de 2019, os desenvolvedores do ransomware Sodinokibi ameaçaram tomar essas medidas em uma reunião secreta do grupo de hackers russos. A postagem foi compartilhada com a comunidade pelo pesquisador de segurança Damian, que descobriu que a UNKN, a representação pública do ransomware, publicou a ameaça. Essa tática já foi vista com o Maze, outra variante de ransomware, que publicou 700 MB de dados roubados da Allied Universal. Na época, acreditava-se que isso representasse apenas 10% dos dados roubados por hackers enquanto realizavam operações de ransomware simultaneamente. Os dados foram liberados em resposta ao pagamento não ter sido feito pela vítima. Sodinokibi agora seguiu o exemplo.
Todos nós aproveitamos a criptografia quando mantemos nossos arquivos e comunicações privados, mas a mesma tática torna possível o ransomware. O cripto-vírus pode atingir indivíduos, mas os atores por trás dessas operações têm como alvo cada vez mais empresas com bolsos mais profundos do que o usuário médio de computador. Ao infectar um PC, o ransomware criptografa arquivos importantes e exclui os originais. Para recuperar os arquivos, a vítima precisa pagar um resgate (geralmente em Bitcoin) em troca da chave de descriptografia.
A UNKN fez riscos relacionados no passado, nomeadamente à Travelex e à CDH Investments, no entanto, a ameaça não foi posta em prática. Agora isso parece ter mudado com o anúncio de um dos representantes do ransomware de que os dados pertencentes à Artech foram vazados para o público. O anúncio continha links para aproximadamente 337 MB de dados pertencentes à empresa, que se descreve como uma empresa de pessoal de TI.
O Maze estabeleceu uma nova altura perigosa para outros autores de infecções de codificação de arquivos tentarem seguir. No início de janeiro, começaram a surgir relatos de que os responsáveis pelo ransomware haviam vazado 14 GB de dados pertencentes à Southwire, fabricante de cabos e aparente vítima do Maze. Alegadamente, 120 GB de dados foram roubados e os responsáveis por Maze vazaram inicialmente 2 GB, o mesmo que havia sido feito anteriormente na cidade de Pensacola, com os hackers exigindo mais de 6 milhões de dólares em Bitcoin para descriptografar os arquivos criptografados. Além disso, aqueles atrás de Maze declararam em um post,
“Mas agora nosso site está de volta, mas não é só isso. Por causa das ações da southwire, agora começaremos a compartilhar suas informações privadas com você, apenas 10% das informações e publicaremos os próximos 10% das informações por semana até que eles concordem em negociar. Use essas informações de qualquer maneira nefasta que desejar ”.