Operações de grupos de ransomware agora contam com negociadores especializados
Por Felipe Gugelmin • Editado por Claudio Yuge |
Conforme os ataques de ransomware se tornam mais sofisticados e presentes no cotidiano, os cibercriminosos envolvidos com eles estão aprimorando suas operações. Se antes uma ofensiva do tipo podia ser conduzido por uma pessoa, agora há toda uma série de atores especializados envolvidos em cada etapa do processo — e as figuras dos negociadores estão ganhando destaque entre elas.
- Campanha de spam aproveita ataque ransomware massivo para espalhar ameaças
- Ataque de ransomware que afetou 20 países traz código que evita alvos na Rússia
- UE investe milhões em sistema que quebra criptografias usadas por criminosos
Um estudo conduzido pela KELA compara as atividades atuais dos grupos criminosos às ações mostrados nos filmes da série 11 Homens e um Segredo. Segundo a empresa, os negociadores são uma figura relativamente nova nesse cenário, e têm como missão forças vítimas a pagar o quanto antes o resgate exigido, usando informações roubadas e ameaças para garantir que isso seja feito.
“Inicialmente, a maioria dos operadores de ransomware se comunicava com as vítimas por um e-mail mencionado na nota de resgate. Conforme o Ransomware como um Serviço (RaaS, na sigla em inglês) cresceu e se tornou mais proeminente e parecido com um negócio, muitos atores começaram a estabelecer seus próprios portais através de qual todas as comunicações são feitas”, explica a companhia.
Grupos passaram a agir como verdadeiras empresas
Segundo o estudo, muitos grupos sequer possuem negociadores como parte central de sua estrutura, empregando muitos agentes externos para a função. A teoria da KELA é que esse papel surgiu como consequência tanto de uma mudança de comportamento das vítimas — que passaram a contar com especialistas para lidar com as consequências de um ataque — quanto do fato de que muitos cibercriminosos não dominam o inglês, e precisam de um falante nativo para negociar ações que envolvem grandes somas de dinheiro.
Um dos relatos obtidos pela empresa mostra que os negociadores são avaliados e compartilhados por grupos como o REvil e o ContiLocker. Em uma conversa registrada por ela, membros discutem sobre o operador envolvido em uma negociação malsucedida com as Escolas Públicas de Broward County, afirmando desconfiar de um operador que “não se comportou profissionalmente” e que a equipe usada por ele estava praticando golpes.
O estudo da KELA mostra que também há uma procura crescente pelos “corretores de acesso inicial”, capazes de garantir o acesso privilegiado às redes que devem ser invadidas. Especialistas do tipo podem receber entre 10% a 30% dos resgates pagos, e nem todos estão dispostos a trabalhar com ransomware: muitos preferem se envolver em casos nos quais um alvo específico é determinado e pode render informações como registros de cartões de crédito, por exemplo.
Ataques devem se intensificar
A conclusão obtida pela empresa é a de que grupos do tipo vão continuar investindo na tendência de agir de forma semelhante a empresas, que podem contratar especialistas ou terceirizar partes de suas atividades. O elemento que torna as operações atraentes é a grande quantidade de dinheiro envolvida, que em alguns casos pode chegar a milhões de dólares.
Para se proteger dos cibercriminosos, empresas e seus funcionários precisam prestam mais atenção à forma como membros importantes de sua estrutura protegem e usam suas credenciais em ambientes online. Além do investimento em conscientização, é preciso continuar investindo em ferramentas de monitoramento, assegurar que atualizações de segurança são implementadas o quanto antes e apostar em estruturas que automatizem respostas a invasões por agentes externos.
Fonte: KELA