Grupos de ransomware utilizam estratégias para aparecer na mídia

Recentemente, o cassino MGM, em Las Vegas, sofreu um ataque hacker, o que colocou a relação entre gangues de ransomware e a imprensa no centro das atenções. Isso ocorreu pois o BlackCat, um dos mais conhecidos grupos de ransomware do mundo, criticou publicamente alguns repórteres que, de forma imprecisa, atribuíram o ataque ao Scattered Spider, outra gangue que promove diversas ameaças cibernéticas.

Depois de examinar a dark web e os sites de vazamento do ransomware mais de perto, o Sophos X-Ops, equipe da Sophos, descobriu que este não é um caso isolado: grupos de ransomware estão, cada vez mais, recorrendo à mídia para aumentar sua notoriedade e pressionar as vítimas a pagarem o resgate dos dados sequestrados.

Os grupos de ransomware estão utilizando uma série de estratégias para se manterem em contato com a imprensa. Em sites de vazamento, por exemplo, a equipe do Sophos X-Ops encontrou canais no Telegram e formulários de contato com a imprensa, além de um Q&A e ofertas especiais para “colaboração” com jornalistas.

Ao interagirem com a imprensa e ganharem crédito pelos ataques realizados, os grupos de ransomware aumentam a notoriedade – o que pode, inclusive, melhorar seus esforços de recrutamento. O Sophos X-Ops encontrou, também em fóruns, anúncios em inglês para possivelmente escrever textos para sites de vazamento que divulgam ataques e destacam artigos da grande imprensa sobre o tema.

Para André Carneiro, diretor geral da Sophos no Brasil, “Os grupos de ransomware não estão mais apenas hackeando redes e sistemas – eles estão tentando hackear a narrativa pública. Vimos isso no caso envolvendo o cassino MGM, e até mesmo nos ataques do CI0P à MOVEit, quando o grupo tentou “esclarecer as coisas” sobre supostas imprecisões na cobertura dos ataques pela mídia. Não é apenas um estímulo para o ego deles, mas também melhora a sua notoriedade – e os tornam “empregadores” mais atrativos para os criminosos.

É provável que vejamos esses grupos interagindo mais diretamente com a imprensa no futuro. Na nossa investigação, curiosamente, vimos alguns grupos, como Cl0P e Royal, utilizarem comunicados de imprensa para ‘renomear’ as suas atividades para ‘serviços de segurança’. Para as equipes de defesa, é importante não ceder à tentação. Precisamos nos concentrar nas táticas, técnicas e procedimentos (TTPs) dos ataques, para que possamos reforçar a proteção das empresas, em vez de dar destaque a quem estava por trás do golpe.”  Finalizou o diretor.