Grupos de ransomware utilizam dados roubados para fazer alvos pagar
Em alguns casos, os atacantes encorajam vítimas individuais cujas informações pessoais foram roubadas às respetivas empresas a prosseguir com um litígio contra o seu empregador.
A Sophos divulgou um novo relatório sobre a dark web, “Turning the Screws: The Pressure Tactics of Ransomware Gangs”, que detalha como os cibercriminosos estão a utilizar dados roubados como arma para aumentar a pressão sobre os alvos que se recusam a pagar.
Esta realidade inclui a partilha de detalhes de contacto ou a identificação de familiares dos CEOs e proprietários das empresas, bem como ameaças de comunicar às autoridades quaisquer informações sobre atividades de negócios ilegais descobertas nos dados roubados.
No relatório, a equipa da Sophos X-Ops partilha publicações encontradas na dark web que mostram como os grupos de ransomware se referem aos seus alvos como “irresponsáveis e negligentes” e, em alguns casos, encorajam vítimas individuais cujas informações pessoais foram roubadas a prosseguir com um litígio contra o seu empregador.
“Em dezembro de 2023, na sequência da violação do casino da MGM, a Sophos começou a registar a propensão dos grupos de ransomware para transformar os meios de comunicação social numa ferramenta que podem utilizar, não apenas para aumentar a pressão sobre as suas vítimas, mas também para assumir o controlo da narrativa e transferir a culpa para outrem. Por outro lado, estamos a assistir a gangues que dão destaque individual aos líderes empresariais que consideram ‘responsáveis’ pelo ataque de ransomware nas respetivas empresas” afirmou Christopher Budd, director, Threat Research da Sophos.
A Sophos X-Ops também encontrou várias publicações de atacantes de ransomware que detalhavam os seus planos para procurar informações nos dados roubados que pudessem ser utilizadas se as empresas não pagassem.
Por exemplo, numa publicação, o agente de ransomware WereWolves refere que quaisquer dados roubados estão sujeitos a “uma avaliação legal criminal, uma avaliação comercial e uma avaliação em termos de informação privilegiada para os concorrentes”.
Num outro exemplo, o grupo de ransomware Monti afirmou ter encontrado um colaborador de uma empresa que pesquisava por material relacionado com abuso sexual de crianças, e ameaçou ir à polícia com a informação se a empresa não pagasse o resgate.
Estas publicações alinham-se com uma tendência mais ampla de criminosos que procuram extorquir as empresas com dados cada vez mais sensíveis relacionados com colaboradores, clientes ou pacientes, incluindo dados de saúde mental, registos médicos de crianças, informações sobre os problemas sexuais dos pacientes e imagens de pacientes nus.
Num caso de ransomware, o grupo de ransomware Qiulong publicou dados pessoais da filha de um CEO, bem como uma hiperligação para o seu perfil no Instagram.