Quando chantagistas publicam dados roubados, backup não é solução

Tudo indica que desenvolvedores de ransomware estão criando uma nova tendência: publicar dados de companhias que se recusam a pagá-lo; veja como proteger sua empresa

O backup de dados tem sido um dos métodos de segurança mais eficazes, embora trabalhosos, contra a criptografia de ransomware até hoje. Agora, os malfeitores parecem ter alcançado também aqueles que confiam nos backups. Os desenvolvedores de vários vírus do tipo, ao se depararem com vítimas que se recusavam a pagar o resgate, compartilham os dados roubados online.

Publicação de dados torna ameaças em realidade

Ameaças envolvendo a publicação de informações confidenciais não são novidade. Por exemplo, em 2016, o grupo por trás do cryptoware que infectou os sistemas da Ferrovia Municipal de São Francisco tentou esse truque. Eles nunca cumpriram sua ameaça, no entanto.

Maze foi o primeiro

Ao contrário de seus antecessores, o grupo por trás do ransomware Maze cumpriu o que prometeu no final de 2019 – mais de uma vez. Em novembro, quando a Allied Universal se recusou a pagá-los, os criminosos vazaram 700MB de dados internos, incluindo contratos, acordos de rescisão, certificados digitais e muito mais. Os chantagistas disseram que haviam publicado apenas 10% do que haviam roubado e ameaçavam publicar o restante se a empresa não cooperasse.

Em dezembro, os responsáveis pelo Maze criaram um site e o usaram para postar os nomes das empresas que foram vítimas, datas de infecção, quantidade de dados roubados e endereços IP e nomes de servidores infectados. Eles postaram alguns documentos também. No final daquele mês, 2GB de arquivos, aparentemente roubados da cidade de Pensacola, na Flórida, apareceram online. Os chantagistas disseram que publicaram as informações para provar que não estavam blefando.

Em janeiro, os criadores do Maze postaram 9,5GB de dados dos Laboratórios de Diagnóstico Médico e 14,1GB de documentos da fabricante de cabos Southwire, que anteriormente havia processado os chantagistas por vazarem informações confidenciais. O processo fez o site Maze ser fechado, mas não vai durar muito.

Depois vieram Sodinokibi, Nemty, BitPyLock

Outros cibercriminosos fizeram o mesmo. O grupo por trás do ransomware Sodinokibi, usado para atacar a empresa financeira internacional Travelex na festa de Ano Novo, declarou no início de janeiro sua intenção de publicar dados pertencentes aos clientes da empresa. Os cibercriminosos dizem ter mais de 5GB de informações, incluindo datas de nascimento, números de previdência social e detalhes de cartões bancários.

Por parte da Travelex, a empresa diz que não viu evidência de vazamento e se recusa a pagar. Enquanto isso, os infratores dizem que a empresa concordou em entrar em negociações.

Em 11 de janeiro, o mesmo grupo subiu cerca de 337MB de dados em um fórum de mensagens de hackers, dizendo que os dados pertenciam à empresa de recrutamento Artech Information Systems, que se recusou a pagar o resgate. Os infratores disseram que os dados enviados representavam apenas uma fração do que haviam roubado. Eles afirmaram que pretendiam vender, não publicar, o restante, a menos que as vítimas obedecessem.

Os autores do malware Nemty foram os próximos a anunciar planos de publicar dados confidenciais dos não pagadores. Eles disseram que pretendiam criar um blog para divulgar os documentos internos das vítimas que não atenderiam aos seus pedidos.

Os operadores do BitPyLock ransomware aderiram à tendência, acrescentando à nota de resgate uma promessa de que disponibilizariam publicamente os dados confidenciais de suas vítimas. Embora eles ainda não tenham cumprido, o BitPyLock também pode provar que está roubando dados.

Não é só um ransomware

Recursos avançados adicionados aos programas de ransomware não são novidade. Por exemplo, em 2016, uma versão do Shade Trojan instalou ferramentas de administração remota em vez de criptografar arquivos, caso ele identificasse que uma determinada máquina era usada para contabilidade. O CryptXXX tanto criptografava arquivos, quanto roubava Bitcoin e logins de vítimas. O grupo responsável pelo cryptor RAA equipou algumas amostras do malware com o Pony Trojan, que também tinha como alvo logins e senhas. A funcionalidade do ransomware de roubar dados não deve surpreender ninguém – especialmente agora que as empresas estão cada vez mais reconhecendo a necessidade de fazer backup de suas informações.

É preocupante que não haja proteção contra esses ataques nos quais as empresas possuem backups. Se você está infectado, não há como evitar perdas, que não serão necessariamente limitadas ao resgate; cibercriminosos não fornecem garantias. A única maneira de se proteger é não deixar o malware entrar em seus sistemas.

Como se proteger contra ransomware

Esses ataques estão apenas começando a ganhar impulso, então você precisa permanecer protegido. Isso significa mais do que apenas evitar perdas de reputação e divulgação de segredos comerciais – se você permitir que os dados pessoais de um cliente sejam roubados, você poderá enfrentar multas sérias. Então, aqui estão alguns conselhos:

  • Melhore a conscientização sobre segurança da informação. Quanto mais funcionários com conhecimento, menor a probabilidade de que phishing e outras técnicas de engenharia social funcionem em sua empresa. Temos uma plataforma de aprendizado, o Kaspersky Automated Security Awareness Platform, projetada para funcionários com diferentes tipos de funções, interesses e níveis de acesso a informações confidenciais.
  • Atualize seus sistemas operacionais e softwares imediatamente – especialmente qualquer coisa que contenha vulnerabilidades que possam permitir acesso não autorizado e controle do sistema.
  • Use uma solução de proteção especializada para combater ransomware. Por exemplo, você pode fazer o download do nosso Kaspersky Anti-Ransomware Tool sem custos.
Dicas