{"id":14014,"date":"2020-02-12T20:49:26","date_gmt":"2020-02-12T23:49:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=14014"},"modified":"2020-02-12T20:49:26","modified_gmt":"2020-02-12T23:49:26","slug":"ransomware-data-disclosure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-data-disclosure\/14014\/","title":{"rendered":"Quando chantagistas publicam dados roubados, backup n\u00e3o \u00e9 solu\u00e7\u00e3o"},"content":{"rendered":"

O backup<\/a> de dados tem sido um dos m\u00e9todos de seguran\u00e7a mais eficazes, embora trabalhosos, contra a criptografia de ransomware<\/a> at\u00e9 hoje. Agora, os malfeitores parecem ter alcan\u00e7ado tamb\u00e9m aqueles que confiam nos backups. Os desenvolvedores de v\u00e1rios v\u00edrus do tipo, ao se depararem com v\u00edtimas que se recusavam a pagar o resgate, compartilham os dados roubados online.<\/p>\n

Publica\u00e7\u00e3o de dados torna amea\u00e7as em realidade<\/strong><\/h2>\n

Amea\u00e7as envolvendo a publica\u00e7\u00e3o de informa\u00e7\u00f5es confidenciais n\u00e3o s\u00e3o novidade. Por exemplo, em 2016, o grupo por tr\u00e1s do cryptoware que infectou os sistemas da Ferrovia Municipal de S\u00e3o Francisco<\/a> tentou esse truque. Eles nunca cumpriram sua amea\u00e7a, no entanto.<\/p>\n

Maze foi o primeiro<\/strong><\/h3>\n

Ao contr\u00e1rio de seus antecessores, o grupo por tr\u00e1s do ransomware Maze cumpriu o que prometeu no final de 2019 \u2013 mais de uma vez. Em novembro, quando a Allied Universal se recusou a pag\u00e1-los, os criminosos vazaram 700MB de dados internos<\/a>, incluindo contratos, acordos de rescis\u00e3o, certificados digitais e muito mais. Os chantagistas disseram que haviam publicado apenas 10% do que haviam roubado e amea\u00e7avam publicar o restante se a empresa n\u00e3o cooperasse.<\/p>\n

Em dezembro, os respons\u00e1veis pelo Maze criaram um site<\/a> e o usaram para postar os nomes das empresas que foram v\u00edtimas, datas de infec\u00e7\u00e3o, quantidade de dados roubados e endere\u00e7os IP e nomes de servidores infectados. Eles postaram alguns documentos tamb\u00e9m. No final daquele m\u00eas, 2GB de arquivos, aparentemente roubados da cidade de Pensacola<\/a>, na Fl\u00f3rida, apareceram online. Os chantagistas disseram que publicaram as informa\u00e7\u00f5es para provar que n\u00e3o estavam blefando.<\/p>\n

Em janeiro, os criadores do Maze postaram 9,5GB de dados dos Laborat\u00f3rios de Diagn\u00f3stico M\u00e9dico e 14,1GB de documentos da fabricante de cabos Southwire, que anteriormente havia processado os chantagistas por vazarem informa\u00e7\u00f5es confidenciais. O processo fez o site Maze ser fechado, mas n\u00e3o vai durar muito.<\/p>\n

Depois vieram Sodinokibi, Nemty, BitPyLock<\/strong><\/p>\n

Outros cibercriminosos fizeram o mesmo. O grupo por tr\u00e1s do ransomware Sodinokibi, usado para atacar a empresa financeira internacional Travelex na festa de Ano Novo, declarou no in\u00edcio de janeiro sua inten\u00e7\u00e3o de publicar dados pertencentes aos clientes da empresa<\/a>. Os cibercriminosos dizem ter mais de 5GB de informa\u00e7\u00f5es, incluindo datas de nascimento, n\u00fameros de previd\u00eancia social e detalhes de cart\u00f5es banc\u00e1rios.<\/p>\n

Por parte da Travelex, a empresa diz que n\u00e3o viu evid\u00eancia de vazamento e se recusa a pagar. Enquanto isso, os infratores dizem que a empresa concordou em entrar em negocia\u00e7\u00f5es.<\/p>\n

Em 11 de janeiro, o mesmo grupo subiu<\/a> cerca de 337MB de dados em um f\u00f3rum de mensagens de hackers, dizendo que os dados pertenciam \u00e0 empresa de recrutamento Artech Information Systems, que se recusou a pagar o resgate. Os infratores disseram que os dados enviados representavam apenas uma fra\u00e7\u00e3o do que haviam roubado. Eles afirmaram que pretendiam vender, n\u00e3o publicar, o restante, a menos que as v\u00edtimas obedecessem.<\/p>\n

Os autores do malware Nemty foram os pr\u00f3ximos a anunciar<\/a> planos de publicar dados confidenciais dos n\u00e3o pagadores. Eles disseram que pretendiam criar um blog para divulgar os documentos internos das v\u00edtimas que n\u00e3o atenderiam aos seus pedidos.<\/p>\n

Os operadores do BitPyLock ransomware aderiram \u00e0 tend\u00eancia<\/a>, acrescentando \u00e0 nota de resgate uma promessa de que disponibilizariam publicamente os dados confidenciais de suas v\u00edtimas. Embora eles ainda n\u00e3o tenham cumprido, o BitPyLock tamb\u00e9m pode provar que est\u00e1 roubando dados.<\/p>\n

N\u00e3o \u00e9 s\u00f3 um ransomware<\/strong><\/h2>\n

Recursos avan\u00e7ados adicionados aos programas de ransomware n\u00e3o s\u00e3o novidade. Por exemplo, em 2016, uma vers\u00e3o do Shade Trojan instalou ferramentas de administra\u00e7\u00e3o remota<\/a> em vez de criptografar arquivos, caso ele identificasse que uma determinada m\u00e1quina era usada para contabilidade. O CryptXXX tanto criptografava arquivos, quanto roubava Bitcoin e logins de v\u00edtimas<\/a>. O grupo respons\u00e1vel pelo cryptor RAA equipou algumas amostras do malware com o Pony Trojan<\/a>, que tamb\u00e9m tinha como alvo logins e senhas. A funcionalidade do ransomware de roubar dados n\u00e3o deve surpreender ningu\u00e9m \u2013 especialmente agora que as empresas est\u00e3o cada vez mais reconhecendo a necessidade de fazer backup de suas informa\u00e7\u00f5es.<\/p>\n

\u00c9 preocupante que n\u00e3o haja prote\u00e7\u00e3o contra esses ataques nos quais as empresas possuem backups. Se voc\u00ea est\u00e1 infectado, n\u00e3o h\u00e1 como evitar perdas, que n\u00e3o ser\u00e3o necessariamente limitadas ao resgate; cibercriminosos n\u00e3o fornecem garantias. A \u00fanica maneira de se proteger \u00e9 n\u00e3o deixar o malware entrar em seus sistemas.<\/p>\n

Como se proteger contra ransomware<\/strong><\/h2>\n

Esses ataques est\u00e3o apenas come\u00e7ando a ganhar impulso, ent\u00e3o voc\u00ea precisa permanecer protegido. Isso significa mais do que apenas evitar perdas de reputa\u00e7\u00e3o e divulga\u00e7\u00e3o de segredos comerciais \u2013 se voc\u00ea permitir que os dados pessoais de um cliente sejam roubados, voc\u00ea poder\u00e1 enfrentar multas s\u00e9rias. Ent\u00e3o, aqui est\u00e3o alguns conselhos:<\/p>\n