“Pesquisador de segurança” se oferece para excluir dados roubados por invasores de ransomware
Quando as organizações são atingidas por ransomware e pagam aos criminosos para descriptografar os dados criptografados e excluir os dados roubados, elas nunca podem ter certeza absoluta de que os criminosos farão o que prometeram.
Mesmo que uma organização consiga descriptografar seus dados, ela não pode ter certeza de que os dados roubados foram realmente apagados e não serão posteriormente usados ou vendidos.
Alguém está tentando tirar vantagem desse fato, fazendo-se passar por pesquisador de segurança e perguntando às organizações vitimadas se gostariam que invadissem a infraestrutura de servidores dos grupos de ransomware envolvidos para excluir os dados exfiltrados.
Este serviço vem com uma “pequena” taxa, é claro.
A(s) oferta(s) para excluir dados roubados
Os pesquisadores de segurança do Arctic Wolf encontraram a oferta duas vezes, em dois casos separados que aconteceram em outubro e novembro de 2023, respectivamente.
Num deles, foi oferecido por uma entidade que se autodenomina Ethical Side Group, e no outro, por alguém que se chama “xanonymoux”. Mas os pesquisadores acreditam que estes podem ser a mesma coisa.
Além de se passar por pesquisador de segurança e fornecer prova de acesso a dados exfiltrados por meio do mesmo serviço de compartilhamento de arquivos (file.io), em ambos os casos o ator da ameaça:
- Entrei em contato via Tox Chat
- Insinuou que a empresa corre risco de ataques futuros se os dados roubados não forem excluídos
- Especificou a quantidade de dados que foram exfiltrados
- Pediu menos de 5 Bitcoins (atualmente cerca de US$ 220.000) e
- Usei 10 frases sobrepostas no e-mail inicial
“Com base [nesses] elementos comuns (…) concluímos com moderada confiança que um ator de ameaça comum tentou extorquir organizações que anteriormente foram vítimas de ataques de ransomware Royal e Akira com esforços subsequentes”, pesquisadores Stefan Hostetler e Steven Campbell observaram.
“No entanto, ainda não está claro se os casos de extorsão subsequentes foram sancionados pelos grupos iniciais de ransomware ou se o ator da ameaça agiu sozinho para angariar fundos adicionais das organizações vítimas.”
Em ambos os casos, a Arctic Wolf estava trabalhando com as vítimas dos ataques de ransomware originais em compromissos apenas de IR, disse um porta-voz da empresa à Help Net Security.
“Em ambos os casos, as listagens de arquivos foram fornecidas pelo autor da ameaça, mas nenhum conteúdo dos arquivos foi fornecido. A quantidade total de dados exfiltrados também foi relatada com precisão pelo autor da ameaça.”
Num caso, o resgate inicial foi pago pela vítima e o autor da ameaça referiu o montante que foi pago nas suas comunicações, acrescentaram.
Em ambos os casos, a tentativa de extorsão subsequente não teve sucesso.
