“Pesquisador de segurança” se oferece para excluir dados roubados por invasores de ransomware

Mesmo que uma organização consiga descriptografar seus dados, ela não pode ter certeza de que os dados roubados foram realmente apagados e não serão posteriormente usados ​​ou vendidos.

Alguém está tentando tirar vantagem desse fato, fazendo-se passar por pesquisador de segurança e perguntando às organizações vitimadas se gostariam que invadissem a infraestrutura de servidores dos grupos de ransomware envolvidos para excluir os dados exfiltrados.

Este serviço vem com uma “pequena” taxa, é claro.

A(s) oferta(s) para excluir dados roubados

Os pesquisadores de segurança do Arctic Wolf encontraram a oferta duas vezes, em dois casos separados que aconteceram em outubro e novembro de 2023, respectivamente.

Num deles, foi oferecido por uma entidade que se autodenomina Ethical Side Group, e no outro, por alguém que se chama “xanonymoux”. Mas os pesquisadores acreditam que estes podem ser a mesma coisa.

Além de se passar por pesquisador de segurança e fornecer prova de acesso a dados exfiltrados por meio do mesmo serviço de compartilhamento de arquivos (file.io), em ambos os casos o ator da ameaça:

• Entrei em contato via Tox Chat
• Insinuou que a empresa corre risco de ataques futuros se os dados roubados não forem excluídos
• Especificou a quantidade de dados que foram exfiltrados
• Pediu menos de 5 Bitcoins (atualmente cerca de US$ 220.000) e
• Usei 10 frases sobrepostas no e-mail inicial

“Com base [nesses] elementos comuns (…) concluímos com moderada confiança que um ator de ameaça comum tentou extorquir organizações que anteriormente foram vítimas de ataques de ransomware Royal e Akira com esforços subsequentes”, pesquisadores Stefan Hostetler e Steven Campbell observaram.

“No entanto, ainda não está claro se os casos de extorsão subsequentes foram sancionados pelos grupos iniciais de ransomware ou se o ator da ameaça agiu sozinho para angariar fundos adicionais das organizações vítimas.”

Em ambos os casos, a Arctic Wolf estava trabalhando com as vítimas dos ataques de ransomware originais em compromissos apenas de IR, disse um porta-voz da empresa à Help Net Security.

“Em ambos os casos, as listagens de arquivos foram fornecidas pelo autor da ameaça, mas nenhum conteúdo dos arquivos foi fornecido. A quantidade total de dados exfiltrados também foi relatada com precisão pelo autor da ameaça.”

Num caso, o resgate inicial foi pago pela vítima e o autor da ameaça referiu o montante que foi pago nas suas comunicações, acrescentaram.

Em ambos os casos, a tentativa de extorsão subsequente não teve sucesso.