A Sophos divulgou um novo relatório sobre a dark web, intitulado “Turning the Screws: The Pressure Tactics of Ransomware Gangs”, que detalha como os cibercriminosos estão usando dados roubados para pressionar alvos que se recusam a pagar os resgates exigidos. Isso inclui o compartilhamento de informações sobre familiares de CEOs e proprietários das empresas visadas, bem como a ameaça de denunciar às autoridades quaisquer elementos sobre atividades comerciais ilegais descobertas por meio da invasão.
No relatório, a equipe do Sophos X-Ops compartilha postagens encontradas na dark web que mostram como os grupos de ransomware se referem a seus alvos como “irresponsáveis e negligentes” e, em alguns casos, incentivam os indivíduos cujas informações pessoais foram roubadas a entrar com um processo contra seus empregadores.
“Em dezembro de 2023, após uma violação do cassino MGM, a Sophos começou a observar a tendência das gangues de ransomware de transformar a mídia em uma ferramenta que pode ser usada não apenas para aumentar a pressão sobre suas vítimas, mas também para assumir o controle da narrativa e transferir a culpa. Estamos vendo organizações criminosas selecionando líderes de negócios para serem ‘responsabilizados’ pelo ataque de ransomware nas empresas que pretendem aplicar golpes”, afirma Christopher Budd, diretor de pesquisa de ameaças da Sophos.
Em uma postagem encontrada, os invasores publicaram a foto de um proprietário de uma organização com chifres de demônio, juntamente com seu número de seguro social – documento pessoal nos EUA. Em outra publicação, os atacantes incentivaram os funcionários a buscar uma indenização da companhia. Em outros casos, ameaçaram notificar clientes, parceiros e concorrentes sobre violações de dados. Esses esforços tentam isentá-los da culpa, aumentando a pressão sobre as organizações para pagarem pelo resgate – o que pode, potencialmente, ampliar os danos à reputação causados por um ataque.
O Sophos X-Ops também encontrou diversas postagens de atacantes de ransomware detalhando seus planos de procurar, nos dados roubados, elementos que poderiam ser usados caso as empresas não pagassem. Por exemplo, em uma publicação, um criminoso associado ao grupo de ransomware WereWolves relata que todas as informações capturadas estão sujeitas a “uma avaliação legal, criminal, comercial e em termos de conteúdos privilegiados para os concorrentes”. Em outro exemplo, o grupo Monti destacou que encontrou um funcionário de uma companhia-alvo buscando por material de abuso sexual infantil e ameaçou mostrar à polícia se a organização não pagasse o resgate.
Essas publicações se alinham a uma tendência mais ampla de criminosos que buscam extorquir empresas com dados cada vez mais confidenciais relacionados a funcionários, clientes ou pacientes, incluindo registros de saúde mental, prontuários médicos de crianças, informações sobre problemas sexuais de pacientes e imagens deles nus. Em um dos casos observados, o grupo Qiulong publicou os dados pessoais da filha de um CEO, bem como um link para seu perfil no Instagram.
“As quadrilhas de ransomware estão se tornando cada vez mais invasivas e ousadas em relação a como e o que utilizam como arma. Para aumentar a pressão sobre as empresas, elas não apenas roubam dados e ameaçam vazá-los, mas estão analisando-os ativamente em busca de maneiras de maximizar os danos e criar novas oportunidades de extorsão. Isso significa que as organizações precisam se preocupar não apenas com a espionagem corporativa e com a perda de informações comerciais sigilosas ou atividades ilegais por parte dos funcionários, mas também com esses problemas em conjunto com os ciberataques”, completa Budd.