Hélder Medeiros
O «Turning the Screws: The Pressure Tactics of Ransomware Gangs», detalha como os cibercriminosos estão a utilizar dados roubados como arma para aumentar a pressão sobre os alvos que se recusam a pagar. Isto inclui a partilha de detalhes de contacto ou a identificação de familiares dos CEOs e proprietários das empresas, bem como ameaças de comunicar às autoridades quaisquer informações sobre atividades de negócios ilegais descobertas nos dados roubados.
Neste relatório, a equipa da Sophos X-Ops partilha publicações encontradas na dark web que mostram como os grupos de ransomware se referem aos seus alvos como «irresponsáveis e negligentes» e, em alguns casos, encorajam vítimas individuais cujas informações pessoais foram roubadas a prosseguir com um litígio contra o seu empregador.
«Em dezembro de 2023, na sequência da violação do casino da MGM, a Sophos começou a registar a propensão dos grupos de ransomware para transformar os meios de comunicação social numa ferramenta que podem utilizar, não apenas para aumentar a pressão sobre as suas vítimas, mas também para assumir o controlo da narrativa e transferir a culpa para outrem. Por outro lado, estamos a assistir a gangues que dão destaque individual aos líderes empresariais que consideram ‘responsáveis’ pelo ataque de ransomware nas respetivas empresas. Num dos posts que encontrámos, os atacantes publicaram uma fotografia de um empresário com cornos de diabo, juntamente com o seu número da Segurança Social. Noutro post, encorajavam os colaboradores a pedir uma ‘indemnização’ à sua empresa e, noutros casos, ameaçavam notificar clientes, parceiros e concorrentes sobre violações de dados. Estes esforços criam um pararraios para a culpa, aumentando a pressão sobre as empresas para que paguem, e potencialmente exacerbando os danos de reputação causados por um ataque,» afirmou Christopher Budd, Director, Threat Research da Sophos.
A Sophos X-Ops também encontrou várias publicações de atacantes de ransomware que detalhavam os seus planos para procurar informações nos dados roubados que pudessem ser utilizadas se as empresas não pagassem. Por exemplo, numa publicação, o agente de ransomware WereWolves refere que quaisquer dados roubados estão sujeitos a «uma avaliação legal criminal, uma avaliação comercial e uma avaliação em termos de informação privilegiada para os concorrentes». Noutro exemplo, o grupo de ransomware Monti afirmou ter encontrado um colaborador de uma empresa que pesquisava por material relacionado com abuso sexual de crianças, e ameaçou ir à polícia com a informação se a empresa não pagasse o resgate.
Estas publicações alinham-se com uma tendência mais ampla de criminosos que procuram extorquir as empresas com dados cada vez mais sensíveis relacionados com colaboradores, clientes ou pacientes, incluindo dados de saúde mental, registos médicos de crianças, informações sobre os problemas sexuais dos pacientes e imagens de pacientes nus. Num caso de ransomware, o grupo de ransomware Qiulong publicou dados pessoais da filha de um CEO, bem como uma hiperligação para o seu perfil no Instagram.
«Os grupos de ransomware estão a tornar-se cada vez mais invasivos e ousados na forma como utilizam as suas armas. Para aumentar a pressão sobre as empresas, não se limitam a roubar dados e a ameaçar divulgá-los, mas analisam-nos ativamente para maximizar os danos e criar novas oportunidades de extorsão. Isto significa que as organizações têm de se preocupar não apenas com a espionagem empresarial e a perda de segredos comerciais ou com atividades ilegais por parte dos colaboradores, mas também com todas estas questões combinadas com os ciberataques,» afirmou Christopher Budd.
