Relatório sobre a dark web, “Turning the Screws: The Pressure Tactics of Ransomware Gangs“, da Sophos – empresa de soluções de cibersegurança -, detalha como os cibercriminosos estão a utilizar dados roubados como arma para aumentar a pressão sobre os alvos que se recusam a pagar.
As técnicas de cibercriminosos incluem a partilha de detalhes de contacto ou a identificação de familiares dos CEOs e proprietários das empresas, bem como ameaças de comunicar às autoridades quaisquer informações sobre atividades de negócios ilegais descobertas nos dados roubados.
No relatório, a equipa da Sophos X-Ops indica com base em publicações encontradas na dark web que os grupos de ransomware referem-se aos seus alvos como “irresponsáveis e negligentes” e, em alguns casos, encorajam vítimas individuais em que as informações pessoais foram roubadas a prosseguir com um litígio contra o seu empregador.
“Em dezembro de 2023, na sequência da violação do casino da MGM, a Sophos começou a registar a propensão dos grupos de ransomware para transformar os meios de comunicação social numa ferramenta que podem utilizar, não apenas para aumentar a pressão sobre as suas vítimas, mas também para assumir o controlo da narrativa e transferir a culpa para outrem”, referiu Christopher Budd, Director, Threat Research da Sophos, citado em comunicado da empresa.
Este responsável acrescentou: “Estamos a assistir a gangues que dão destaque individual aos líderes empresariais que consideram ‘responsáveis’ pelo ataque de ransomware nas respetivas empresas. Num dos posts que encontrámos, os atacantes publicaram uma fotografia de um empresário com cornos de diabo, juntamente com o seu número da Segurança Social. Noutro post, encorajavam os colaboradores a pedir uma ‘indemnização’ à sua empresa e, noutros casos, ameaçavam notificar clientes, parceiros e concorrentes sobre violações de dados. Estes esforços criam um para-raios para a culpa, aumentando a pressão sobre as empresas para que paguem, e potencialmente exacerbando os danos de reputação causados por um ataque”.
A Sophos X-Ops indica que também encontrou várias publicações de atacantes de ransomware que detalhavam os seus planos para procurar informações nos dados roubados que pudessem ser utilizadas se as empresas não pagassem. Por exemplo, numa publicação, o agente de ransomware WereWolves refere que quaisquer dados roubados estão sujeitos a “uma avaliação legal criminal, uma avaliação comercial e uma avaliação em termos de informação privilegiada para os concorrentes”.
Noutro exemplo, o grupo de ransomware Monti afirmou ter encontrado um colaborador de uma empresa que pesquisava por material relacionado com abuso sexual de crianças, e ameaçou ir à polícia com a informação se a empresa não pagasse o resgate.
Estas publicações alinham-se com uma tendência mais ampla de criminosos que procuram extorquir as empresas com dados cada vez mais sensíveis relacionados com colaboradores, clientes ou pacientes, incluindo dados de saúde mental, registos médicos de crianças, informações sobre os problemas sexuais dos pacientes e imagens de pacientes nus. Num caso de ransomware, o grupo de ransomware Qiulong publicou dados pessoais da filha de um CEO, bem como uma hiperligação para o seu perfil no Instagram.
“Os grupos de ransomware estão a tornar-se cada vez mais invasivos e ousados na forma como utilizam as suas armas. Para aumentar a pressão sobre as empresas, não se limitam a roubar dados e a ameaçar divulgá-los, mas analisam-nos ativamente para maximizar os danos e criar novas oportunidades de extorsão. Isto significa que as organizações têm de se preocupar não apenas com a espionagem empresarial e a perda de segredos comerciais ou com atividades ilegais por parte dos colaboradores, mas também com todas estas questões combinadas com os ciberataques,” afirmou Christopher Budd.