Extorsão tripla é nova ameaça de ransomware identificada por pesquisadores de cibersegurança
Clientes e parceiros da vítima são fortemente influenciados por violações de dados causadas por esses ataques, alerta relatório da Check Point
Em março deste ano, foi constatado um aumento de 57% no número de ataques de ransomware desde o início de 2021 em meio à divulgação das vulnerabilidades do Microsoft Exchange, de acordo com relatório da Check Point Research (CPR). Mais recentemente, o ataque à Colonial Pipeline chamou a atenção do mundo, sendo considerado o mais crítico realizado contra uma infraestrutura pública dos Estados Unidos na história do país. Além do aumento de ataques, no entanto, os invasores agora estão usando táticas de extorsão tripla, ameaçando, além da vítima em si, seus clientes, usuários e terceiros.
É comum neste tipo de crime que os atacantes usem táticas de extorsão dupla, nas quais eles descriptografam dados roubados, exigem um alto valor de resgate e ainda ameaçam expor esses dados caso não recebam o valor exigido. No entanto, relatório divulgado na última quarta-feira (12) pela Check Point Research descreve nova tática dos criminosos que envolve uma extorsão tripla envolvendo não só a fonte dos dados roubados, como organizações relacionadas à vítima que também podem se prejudicar com um possível vazamento de informações.
Ataques de ransomware no mundo
Desde abril, os pesquisadores da CPR viram uma média de mais de 1.000 organizações sendo afetadas por ransomware todas as semanas. Isso segue aumentos significativos no número de organizações impactadas até agora em 2021 – 21% no primeiro trimestre do ano e 7% desde abril até agora. Esses aumentos resultaram em um aumento geral de 102% no número de organizações afetadas por ransomware em comparação com o início de 2020. Durante todo o ano de 2020, o ransomware custou às empresas em todo o mundo cerca de US$ 20 bilhões, mais de 75% a mais do que o valor em 2019.
Os setores da indústria que estão enfrentando os maiores volumes de tentativas de ataque de ransomware globalmente são os de saúde, com uma média de 109 tentativas de ataques por organização a cada semana, seguido pelo setor de serviços públicos, com 59 ataques, e seguro/jurídico, com 34.
O relatório também avaliou o número de ataques por região. Uma organização na Ásia-Pacífico (APAC) enfrenta atualmente o maior volume de ataques de ransomware. Em média, as organizações na APAC são atacadas 51 vezes por semana. É um aumento de 14% em relação ao início deste ano. Por outro lado, as organizações africanas tiveram o maior aumento, 34%, desde abril.
A Índia registrou o maior número de tentativas de ataques por organização, com uma média de 213 ataques semanais desde o início do ano. Em seguida, vem a Argentina, com 104 por organização, Chile (103), França (61) e Taiwan (50).
Extorsão tripla
Embora os valores pagos e os casos de roubo de dados nem sempre sejam divulgados, segundo o relatório, o pagamento médio do resgate aumentou 171% no ano passado e, agora, é de aproximadamente US$ 310.000. Mais de 1.000 empresas sofreram vazamento de dados após se recusarem a atender aos pedidos de resgate em 2020, e cerca de 40% de todas as famílias de ransomware recém-descobertas incorporaram a infiltração de dados em seu processo de ataque, diz o relatório.
Os números refletem o sucesso de um ataque que combina uma violação de dados e uma ameaça de ransomware. “Fica claro que os invasores ainda buscam métodos para melhorar suas estatísticas de pagamento de resgate e sua eficiência de ameaças”, diz a CPR. “Ataques proeminentes que ocorreram no final de 2020 e no início de 2021 apontam para uma nova cadeia de ataques – essencialmente uma expansão da técnica de ransomware de extorsão dupla, integrando uma ameaça adicional única ao processo – e chamamos isso de extorsão tripla”.
Segundo os pesquisadores, o primeiro caso notável deste tipo de ataque de extorsão tripla ocorreu contra a clínica Vastaamo, em outubro de 2020. Inovadora na época, a clínica de psicoterapia finlandesa com 40.000 pacientes sofreu uma violação de um ano que culminou em um grande roubo de dados de pacientes e um ataque de ransomware. Além do montante exigido à empresa pelo resgate dos dados, quantias menores também foram exigidas dos pacientes, que haviam recebido os pedidos de resgate individualmente por e-mail. Nesses e-mails, os atacantes ameaçaram publicar suas notas de sessão do terapeuta. Este foi o primeiro ataque desse tipo no cenário de ataques de ransomware, de acordo com o relatório.
“Parece que, mesmo na onda do sucesso, os grupos de ameaças estão em busca constante por modelos de negócios mais inovadores e frutíferos. Podemos apenas supor que o pensamento criativo e uma análise sábia do cenário complexo de ataques de ransomware de dupla extorsão levaram ao desenvolvimento da terceira técnica de extorsão”, dizem os pesquisadores.
“Vítimas terceirizadas, como clientes da empresa, colegas externos e provedores de serviços, são fortemente influenciadas e danificadas por violações de dados causadas por esses ataques de ransomware, mesmo que seus recursos de rede não sejam direcionados diretamente. Quer exijam mais resgate deles ou não, eles são impotentes diante de tal ameaça e têm muito a perder se o incidente der um caminho errado. Essas vítimas são um alvo natural para extorsão e podem estar no radar dos grupos de ransomware de agora em diante”.
