Os atacantes de ransomware agora estão usando táticas de extorsão tripla

Os invasores não estão apenas exigindo resgate das organizações, mas também ameaçando seus clientes, usuários e terceiros.

Os cibercriminosos especializados em ransomware já usam táticas de extorsão dupla, nas quais não apenas descriptografam dados roubados, mas também ameaçam vazá-los publicamente, a menos que o resgate seja pago. Agora, alguns invasores progrediram para uma tática de extorsão tripla com a intenção de extrair ainda mais dinheiro de suas atividades maliciosas. Em um relatório publicado na quarta-feira , o provedor de inteligência contra ameaças cibernéticas, Check Point Research, descreve como essa tática mais recente está se saindo.

Ransomware aumenta

O número de organizações afetadas por ransomware até agora neste ano mais que dobrou, em comparação com o mesmo período em 2020, de acordo com o relatório. Desde abril, os pesquisadores da Check Point observaram uma média de 1.000 organizações impactadas por ransomware todas as semanas. Durante todo o ano de 2020, o ransomware custou às empresas em todo o mundo cerca de US $ 20 bilhões, mais de 75% a mais do que o valor em 2019.

O setor de saúde tem visto o maior volume de ransomware, com cerca de 109 ataques por organização a cada semana. Em meio a notícias de um ataque de ransomware contra a empresa de gasodutos Colonial Pipeline , o setor de serviços públicos sofreu 59 ataques por organização por semana. Organizações do setor de seguros e jurídico foram afetadas por 34 desses ataques a cada semana.

Em todo o mundo, as organizações da região Ásia-Pacífico foram vítimas do maior número de ataques de ransomware, com 51 por semana. Em média, as organizações norte-americanas viram 29 ataques por semana, enquanto as da Europa e da América Latina testemunharam, cada uma, 14 ataques por semana.

Extorsão tripla

A tática de extorsão dupla tem se mostrado extremamente popular e lucrativa entre as gangues de ransomware. No ano passado, mais de 1.000 empresas descobriram que seus dados vazaram publicamente depois que se recusaram a ceder aos pedidos de resgate. Ao longo desse tempo, o pagamento médio do resgate saltou 171%, para cerca de US $ 310.000.

Mas, uma tática que começou no final de 2020 e continuou em 2021 é a extorsão tripla, disse a Check Point. Nesse cenário, os criminosos enviam pedidos de resgate não apenas para a organização atacada, mas para todos os clientes, usuários ou terceiros que seriam prejudicados pelos dados vazados.

Em um incidente ocorrido em outubro passado, a clínica de psicoterapia finlandesa Vastaamo , com 40.000 pacientes, foi atingida por uma violação que levou ao roubo de dados do paciente e a um ataque de ransomware. Como esperado, os agressores exigiram uma boa quantia de resgate da clínica. Eles também enviaram e-mails diretamente aos pacientes, exigindo quantias menores de dinheiro, ou então vazariam suas anotações da sessão do terapeuta. Devido à violação e ao prejuízo financeiro, Vastaamo foi forçado a declarar falência e, por fim, encerrou seus negócios.

Em outro exemplo de fevereiro passado, o grupo de ransomware REvil anunciou que estava adicionando mais táticas à sua estratégia de extorsão dupla, ou seja, ataques DDoS e ligações para os parceiros de negócios da vítima e a mídia. Oferecidos gratuitamente às afiliadas como parte do negócio de ransomware-as-a-service do grupo, os ataques DDoS e as chamadas VoIP codificadas por voz são projetados para aplicar maior pressão sobre a empresa para pagar o resgate.

“Vítimas terceirizadas, como clientes da empresa, colegas externos e provedores de serviços, são fortemente influenciadas e danificadas por violações de dados causadas por esses ataques de ransomware, mesmo se seus recursos de rede não forem direcionados diretamente”, disse a Check Point em seu relatório. “Quer exijam mais resgate deles ou não, eles são impotentes diante de tal ameaça e têm muito a perder se o incidente der errado. Essas vítimas são um alvo natural de extorsão e podem estar nos grupos de ransomware ‘radar de agora em diante. ”

Recomendações

A Check Point oferece várias dicas para ajudar as organizações a se defenderem melhor contra o aumento dos ataques de ransomware.

• Levante a guarda nos fins de semana e feriados . A maioria dos ataques de ransomware ocorre nos fins de semana e feriados, quando é menos provável que as pessoas estejam procurando por eles.
• Mantenha seus patches atualizados . Quando o infame ataque WannaCry aconteceu em maio de 2017, um patch já estava disponível para a falha EternalBlue explorada. Muitas organizações não conseguiram instalá-lo, levando a um ataque de ransomware que afetou mais de 200.000 computadores em apenas alguns dias. Certifique-se de manter seus computadores e sistemas atualizados com os patches mais recentes, especialmente aqueles considerados críticos.
• Use ferramentas anti-ransomware . Alguns invasores enviam e-mails de spearphishing direcionados para induzir os funcionários a revelar credenciais de conta que podem abrir o acesso à rede. A proteção contra essa forma de ransomware requer uma ferramenta de segurança especial. As ferramentas anti-ransomware monitoram os programas em um computador para detectar qualquer comportamento suspeito. Se tal comportamento for identificado, a ferramenta pode interromper a criptografia de arquivos confidenciais antes que qualquer dano seja feito.
• Eduque os usuários . Treine os usuários sobre como identificar e evitar possíveis ataques de ransomware. Muitos desses ataques começam com um e-mail de phishing que persuade o destinatário a clicar em um link malicioso. Educar os funcionários sobre esses tipos de e-mail pode impedir um ataque antes que seja tarde demais.
• Pare o ransomware antes de começar . Os ataques de ransomware não começam com ransomware – muitos começam com infecções por malware. Faça uma varredura em sua rede em busca de malwares como Trickbot, Emotet e Dridex, pois eles podem abrir caminho para ransomware.