Grupos que atacam por meio de ransomwares se parecem cada vez mais com empresas. Alguns conseguem até elaborar estratégias para responder a problemas no “mercado”. A gangue por trás do LockBit, por exemplo, teve um vazamento de dados frustrado e reagiu criando um agressivo esquema de extorsão tripla contra as vítimas.
Se o esquema de extorsão agora é triplo, o anterior era duplo? Era. Muitos grupos de ransomware se especializaram em paralisar sistemas invadidos e, ao mesmo tempo, vazar dados sigilosos quando a vítima não paga um resgate.
Na nova estratégia, além das mencionadas abordagens, também haverá ataques DDoS (ataque de negação de serviço distribuído).
Antes, o contexto
De acordo com o BleepingComputer, foi o que aconteceu com a Entrust — ironicamente, uma companhia especializada em segurança digital. Ou melhor, era para ter acontecido. Uma reação inesperada impediu o vazamento de dados.
Em 18 de junho, a Entrust teve dados internos capturados em um ataque realizado com o LockBit. Como o resgate não foi pago, o grupo por trás do ransomware ameaçou vazar os dados coletados em 19 de agosto. No entanto, a página de vazamento do grupo na dark web sofreu um ataque DDoS na ocasião.
Um membro da gangue que se identifica como LockBitSupp declarou que a página recebeu mais de 400 requisições por segundo oriundas de mais de mil computadores.
Até existe a possibilidade de o ataque DDoS ter sido realizado por um grupo rival. Mas, dadas as circunstâncias, é mais provável que a ação tenha sida coordenada pela própria Entrust ou por especialistas contratados pela companhia.
A empresa chegou a ser questionada pelo TechCrunch sobre a autoria do ataque DDoS, mas não houve resposta. O fato é que o servidor atacado ficou tão sobrecarregado que o vazamento de dados não foi adiante na ocasião.
LockBit não se deu por vencido
Se de um lado o episódio pegou o grupo de surpresa, do outro, deixou uma lição. Dias depois, LockBitSupp revelou que a infraestrutura da gangue foi reorganizada para impedir novas paralisações por ataques DDoS.
No caso em questão, além de vazar um torrent dos supostos dados da Entrust em um site próprio, o grupo o disponibilizou em pelo menos dois serviços de compartilhamento de arquivos.
Além disso, a partir de agora, a gangue vai usar uma abordagem de múltiplos links para vazar dados. Isso significa que, em vez de um site que concentra todos os vazamentos, o grupo terá um link dedicado para cada um deles, não divulgado previamente.
Para completar, o grupo aposta em redundância. Os servidores de vazamentos serão espelhados e os dados capturados poderão ser vazados até na clearnet (a web “normal”, que todos nós acessamos).
Mas a cartada final está justamente em ataques DDoS. A ação do tipo que surpreendeu o grupo por trás do LockBit inspirou o uso da técnica como mecanismo adicional de extorsão.
LockBitSupp revelou que está procurando especialistas no assunto. “Eu senti o poder dos dudos [ataques DDoS] e como eles revigoram e fazem a vida mais interessante”, declarou em um fórum hacker.
Não que ataques DDoS já não tenham sido usados concomitantemente a ações de ransomwares. Mas a ideia é ter uma arma a mais para pressionar as vítimas a pagarem o resgate: sequestro de sistemas + vazamento de dados + DDoS.
É de se presumir que os ataques de negação de serviço serão direcionados a serviços da vítima não afetados diretamente pelo LockBit.
O ransomware LockBit
O LockBit é um ransomware está em atividade pelo menos desde 2019. O grupo responsável pela praga costuma seguir a tática do “Ransomware as a Service”, quando o malware é fornecido para que terceiros efetuem ataques com ele.
Organizações brasileiras estão entre as mais atingidas pelo ransomware. Uma delas foi a Secretaria de Fazenda do Rio de Janeiro, em abril.
Fonte: https://tecnoblog.net/noticias/2022/08/29/mais-agressivo-grupo-do-ransomware-lockbit-agora-promete-extorsao-tripla/
