Cada vez mais empresas e instituições têm conhecido e se atentado aos danos que podem ser causados por um ataque de ransomware. Com o crescimento deste tipo de ofensiva cibernética criminosa, organizações ao redor do mundo têm buscado adotar cada vez mais práticas que as tornem menos vulneráveis a uma invasão que possa resultar no vazamento ou perda total de dados sigilosos.
No entanto, os cibercriminosos são persistentes e, pensando justamente em ampliar o número de depósitos realizados para resgates, eles agora estão analisando os dados roubados para buscar informações sensíveis que possam ser utilizadas para pressionar as lideranças de organizações a realizarem os pagamentos.
Essa nova estratégia dos cibercriminosos têm se mostrado extremamente perigosa, pois pode colocar em risco tanto clientes, quanto funcionários e familiares de colaboradores.
Uma vez que um ataque é bem sucedido e dados são sequestrados, os invasores realizam uma análise com o intuito de encontrar informações que os ajudem a construir estratégias para pressionar indivíduos em cargos de comando.
Documentos pessoais, fotos íntimas e até laudos médicos são alguns dos tipos de conteúdo que os criminosos têm buscado encontrar para usar como vantagem em cenários de extorsão.
Controle de narrativa
Boa parte dessa estratégia de analisar os dados sequestrados com objetivo de encontrar vantagens para extorquir as vítimas passa pelo controle da narrativa acerca do crime.
Uma vez que invasores possuem informações sigilosas, eles as usam para culpabilizar os líderes das companhias pelo caos gerado por um ataque de ransomware e se eximir de qualquer culpa, como uma tentativa de justificar as invasões pela falta de comando e/ou investimentos em segurança.
De acordo com uma pesquisa recente realizada pela Sophos, um dos métodos mais utilizados é pressionar diretamente colaboradores e funcionários para exigir indenizações caso seus dados pessoais sejam vazados.
O mesmo funciona para clientes e parceiros comerciais, que passam a cobrar o pagamento do resgate para evitar que contratos e estratégias comerciais sejam reveladas. A ideia é sempre mudar o foco da situação, tentando mitigar os esforços para combater os criminosos e aumentando a pressão de terceiros para que o resgate seja efetivado.
Criminosos entendem que quando conseguem reverter a narrativa para culpabilizar as lideranças, as chances de receberem o que foi pedido pelos resgates é muito maior.
Possíveis danos
É muito importante destacar que esse tipo de pressão exercida por atacantes de ransomware pode acarretar em muitos danos, não só financeiros, mas também de reputação, tanto das companhias, quanto dos indivíduos que têm seus dados expostos.
Uma vez que a credibilidade da segurança de uma empresa é colocada em cheque por funcionários e parceiros, pode ser difícil de se recuperar.
Não posso deixar de mencionar os possíveis problemas pessoais que os vazamentos de informações sigilosas podem gerar. A Sophos, empresa que lidero no Brasil, revelou que o grupo Qiulong chegou a publicar dados pessoais da filha de um CEO, bem como um link para seu perfil no Instagram.
O mesmo levantamento revelou ainda que ataques direcionados a instituições do setor de saúde já sofreram com vazamentos de registros de saúde mental, prontuários médicos de crianças, informações sobre problemas sexuais de pacientes e imagens deles nus.
Além disso tudo, há também a possibilidade de incriminar empresas por conta de comportamentos maliciosos de seus funcionários. Muitas vezes as ameaças realizadas para exigir o resgate estão baseadas em atitudes ilícitas cometidas por colaboradores sem o consentimento da empresa.
Um exemplo disso foi o caso do grupo Monti, que encontrou um funcionário de uma companhia-alvo buscando por material de abuso sexual infantil e ameaçou mostrar à polícia se a organização não pagasse o resgate.
Como evitar extorsões
Mais do que nunca, companhias precisam investir em estratégias de defesa robustas, que funcionem 24 horas por dia, sete dias por semana. É necessário que haja uma visão macro sobre esses perigos, pois a exposição de informações sigilosas pode trazer danos para diversas pessoas envolvidas em um cenário de ataque de ransomware.
Quanto mais as organizações investirem em cibersegurança – como soluções de endpoint e serviços de detecção e resposta gerenciadas (MDR) –, mais difícil será a missão de sequestrar dados, independente do setor em que ela atuar.