Hackers oferecem recompensa por informações internas em notas de ransomware

Título sugerido: Hackers oferecem recompensa por informações internas em notas de ransomware

Atores de ransomware estão utilizando uma tática inédita em suas notas de resgate: a publicação de anúncios para solicitar informações internas.

Pesquisadores da equipe de inteligência de ameaças da GroupSense compartilharam suas descobertas com o Dark Reading, incluindo capturas de tela das estratégias utilizadas por esses grupos. Grupos como o Sarcoma e outro sindicato, que se acredita estar se passando pelo ransomware LockBit, conhecido como DoNex, adotaram essa estratégia, segundo a empresa.

Parte de uma nota de ransomware inclui os detalhes habituais, afirmando que a empresa está em estado crítico, seus backups foram destruídos e os bancos de dados exportados. No entanto, mais abaixo na mensagem, o grupo declara:

“Se você nos ajudar a encontrar os podres desta empresa, será recompensado. Você pode contar aos seus amigos sobre nós. Se você ou seu amigo odeia seu chefe, escreva para nós e faremos ele chorar, e o verdadeiro herói receberá uma recompensa de nós.”

Uma nota de resgate do grupo Sarcoma. Fonte: GroupSense

Em outra nota de ransomware, os atores da ameaça escrevem:

“Gostaria de ganhar milhões de dólares $$$?
Nossa empresa obtém acesso a redes de várias empresas, bem como informações internas que podem ajudá-lo a roubar os dados mais valiosos de qualquer organização.
Você pode nos fornecer dados contábeis para acessar qualquer empresa, como login e senha de RDP, VPN, e-mail corporativo, etc.”

Uma nota de resgate de um grupo que se passa pelo LockBit. Fonte: GroupSense

Os atores da ameaça detalham ainda como os interessados podem abrir sua carta e lançar um vírus em seu computador de trabalho. A comunicação é feita por meio do mensageiro Tox, garantindo o anonimato do usuário.

Kurtis Minder, CEO e fundador da GroupSense, observa que a empresa encontra diversos formatos de notas de resgate durante suas respostas a incidentes, mas foi apenas na última semana que seus pesquisadores notaram esses “pseudo-anúncios” no final dessas mensagens.

“Perguntei à minha equipe e especulei sobre por que esse seria um bom lugar para colocar um anúncio”, diz Minder. “Não sei a resposta certa, mas, obviamente, essas notas acabam circulando.”

Ele sugere que esses atores da ameaça podem ter uma mentalidade de “por que não?” ao incorporar tais anúncios em suas notas de resgate. E quando um grupo de ransomware inicia uma nova tática, os demais são rápidos em segui-lo.

Para qualquer indivíduo que considere aceitar esse tipo de oferta de cibercriminosos, é melhor evitar os riscos.

“Essas pessoas não têm nenhuma responsabilidade, então não há garantia de que você receberia qualquer pagamento”, acrescenta Minder. “Tentar capitalizar sobre isso é um risco elevado do ponto de vista do resultado.”

A GroupSense continua analisando notas de resgate anteriores para encontrar sinais mais antigos dessa tendência, e Minder espera identificar mais anúncios além dos já descobertos.