Gangues de ransomware aumentam a pressão de novas formas

Em novembro de 2023, ALPHV/BlackCat tentou aplicar um novo tipo de pressão sobre uma vítima – apresentando uma queixa à SEC.

A Comissão de Valores Mobiliários dos EUA (SEC) é responsável por “proteger os investidores, manter mercados justos, ordenados e eficientes, e facilitar a formação de capital.” Como parte desses esforços, a SEC emite regulamentos de incidentes de cibersegurança que “fornecem aos investidores informações oportunas, consistentes e comparáveis sobre um conjunto importante de riscos que podem causar perdas significativas para as empresas públicas e seus investidores.”

De acordo com fontes online, o grupo afirmou que violou os sistemas da MeridianLink no dia 7 de novembro e roubou dados da empresa sem encriptar os sistemas. Aparentemente, a MeridianLink não respondeu rapidamente ao ALPHV para negociar um pagamento em troca de não divulgar os dados roubados. Devido•a isto, por volta do dia 15º de novembro, o ALPHV decidiu apresentar uma queixa à Comissão de Valores Mobiliários dos EUA sobre a empresa não ter divulgado o incidente que afetou “dados de clientes e informações operacionais.” A regra da SEC em questão exige que as empresas divulguem incidentes de cibersegurança “ quatro dias úteis após o registo determinar que um incidente de cibersegurança é relevante." Os ‘quatro dias úteis’ não começam quando ocorre a violação, mas sim se/quando se determinar que a violação tem um efeito significativo nos resultados o financeiros da empresa.

ALPHV BlackCat alega ter apresentado uma queixa à SEC contra a MeridanLink por não ter apresentado um incidente de cibersegurança.@Mandiant pic.twitter.com/DHEKLEo4DV

— Dominic Alvieri (@AlvieriD) 15 de novembro de 2023

Infelizmente para o grupo, a tentativa de utilizar os novos requisitos de divulgação da SEC como arma falhou, porque as regras não estavam em vigor na altura. A alteração das regras estava prevista para entrar em vigor a 15 de dezembro de 2023, mais de um mês após a violação. A MeridianLink confirmou o ciberataque e contratou uma equipa de terceiros para investigar.

Isto segue múltiplos problemas semelhantes que são criados por estes grupos de ransomware. Até à data, uma das piores tentativas foi realizada nos EUA em fevereiro de 2023. Os mesmos atores de ameaça, ALPHV/BlackCat, atacaram a Lehigh Valley Health Network (LVHN) e roubaram uma quantidade significativa de dados de pacientes. Estes dados incluíam fotos e imagens de exames médicos de mais de 2700 pacientes, alguns com condições médicas graves, como cancro da mama. A LHVN respondeu ao ataque com uma declaração pública de que não pagariam um resgate. Em março, surgiram notícias de que uma vítima de cancro estava na LHVN porque ALPHV/BlackCat divulgou informações pessoais dos pacientes, incluindo fotos nuas, exames médicos e outros dados pertencentes a esta vítima. Não há garantia de que pagar um resgate levará ao resultado desejado, e todas as agências de aplicação da lei desencorajam tais pagamentos. No entanto, isto é um lembrete de que nem todos os arquivos de dados são iguais. As empresas devem proteger estes dados melhor do que fizeram no passado.

Numa outra evolução deste tipo de pressão adicional, o grupo de ransomware Hunters International agora recorreu a medidas extremas – swatting das suas vítimas.

Neste contexto, "swatting" refere-se ao ato de chamar os serviços de emergência e relatar atividade de ameaça num endereço específico. Esta atividade de ameaça é geralmente algo como uma ameaça de bomba ou situação de violência doméstica. A resposta de emergência à ameaça falsa é, na melhor das hipóteses, perturbadora e disruptiva. O investigador e jornalista de cibersegurança Brian Krebs foi algemado fora de sua casa depois de ser vítima de swatting por cibercriminosos, e muitas celebridades e funcionários públicos são vítimas de swatting como partidas ou por incómodo. Os piores incidentes de swatting custaram a vida de pessoas.

A Hunters International é um gangue de Ransomware-as-a-Service que surgiu no final do ano passado. É provavelmente uma ramificação do antigo gangue Hive Ransomware que foi desmantelado pelo FBI, e alguns jornalistas especularam que a Hunters International ainda está a tentar provar-se a potenciais afiliados. Talvez seja essa ambição por trás da desprezível tática de apontar aos pacientes individuais das empresas que foram violadas. O gangue infiltrou-se em organizações de saúde como a Bradford Health Care e o Fred Hutchinson Cancer Center. Para a Hunters International, não basta extorquir as redes médicas. Os criminosos atacam vítimas individuais na violação, pedindo, num caso, 50 dólares a um paciente para remover a sua informação do seu site de fugas. Pacientes da Integris Health em Oklahoma têm experienciado tentativas de extorsão semelhantes.

Esta é uma grande diferença em relação ao pedido de desculpas do gangue de Ransomware LockBit e às chaves de desencriptação gratuitas oferecidas a um hospital pediátrico que foi atacado por um afiliado do Lockbit.

Esta evolução tem vindo a acontecer há algum tempo. À medida que mais organizações adotam uma postura rígida contra o pagamento de resgates e recusam negociar, os criminosos vão continuar a encontrar novas formas de obter retorno dos seus "investimentos" e aplicar pressão de maneiras "inovadoras" para conseguir o seu dinheiro. Não há motivo para pensar que estas gangues vão parar por conta própria.

Aprenda a Derrotar Ataques de Ransomware Baseados em IA: As Chaves para uma Recuperação Rápida

Veja este webinar gratuito e sob demanda para obter uma compreensão completa de como o ransomware está a evoluir. Também descobrirá por que algumas organizações demoram semanas ou meses a recuperar, pagando custos enormes no processo - e por que outras conseguem recuperar rápida e completamente, retornando às operações normais em poucos dias, no máximo.

O ransomware é um facto da vida. Mas a forma como se prepara e responde a ele pode fazer a diferença entre uma grande catástrofe e um pequeno incómodo.