by ffclavis
Bookmark

Gangue do Ransomware Conti passa a vender acesso a dados de vítimas

O programa de afiliados Conti ransomware parece ter alterado seu plano de negócios recentemente. Organizações infectadas com malware da Conti que se recusam a negociar um pagamento de resgate são adicionadas ao blog para envergonhar as vítimas da Conti, onde arquivos confidenciais roubados das vítimas podem ser publicados ou vendidos. Mas em algum momento nas últimas 48 horas, o cybercriminal syndicate atualizou seu blog para envergonhar vítimas e indicar que agora está vendendo acesso a muitas das organizações que foram invadidas.

O programa de afiliados do Conti ransomware parece ter alterado seu plano de negócios recentemente. Nas operações cotidianas desse ator de ameaças, organizações infectadas com o malware da Conti, que se recusam a negociar um pagamento de resgate, são adicionadas a um blog para envergonhar as vítimas. Através deste blog, os arquivos confidenciais roubados podem ser publicados ou vendidos. Mas em algum momento nos últimos dias, o grupo criminoso atualizou seu “blog para envergonhar vítimas” para indicar que agora está vendendo acesso a muitas das organizações que, supostamente, foram invadidas.

O programa de afiliados Conti ransomware parece ter alterado seu plano de negócios recentemente. Organizações infectadas com malware da Conti que se recusam a negociar um pagamento de resgate são adicionadas ao blog para envergonhar as vítimas da Conti, onde arquivos confidenciais roubados das vítimas podem ser publicados ou vendidos. Mas em algum momento nas últimas 48 horas, o cybercriminal syndicate atualizou seu blog para envergonhar vítimas e indicar que agora está vendendo acesso a muitas das organizações que foram invadidas.
Uma captura de tela editada do blog de envergonhar vítimas do Conti News.

“Estamos procurando um comprador para acessar a rede desta organização e vender dados de sua rede”, diz a mensagem confusa inserida em várias listas de vítimas recentes no “blog difamador” da Conti.

Não está claro o que motivou ou o que Conti espera ganhar com a mudança. Também não é óbvio por que eles anunciariam ter invadido empresas se planejam vender esse acesso para extrair dados confidenciais no futuro. Conti não respondeu aos pedidos de comentário.

“Eu me pergunto se eles estão prestes a encerrar suas operações e querem vender dados ou acesso de uma violação em andamento antes de fazê-lo”, disse Fabian Wosar, diretor de tecnologia da empresa de segurança de computadores Emsisoft. “Mas é um tanto estúpido fazer dessa forma, pois alertará as empresas de que há uma violação em andamento.”

A mudança inexplicada ocorre no momento em que os legisladores dos Estados Unidos e da Europa estão avançando nos esforços para desmantelar algumas das principais gangues de ransomware. A Reuters relatou recentemente que o governo dos EUA estava por trás de uma grande operação de hacking que penetrou nos sistemas de computadores do REvil, um grupo afiliado de ransomware que, segundo especialistas, é tão agressivo e implacável quanto Conti no trato com as vítimas. Além do mais, REvil foi um dos primeiros grupos de ransomware a começar a vender os dados de suas vítimas.

O site de comprometimento de vítimas na darknet do REvil permanece offline. Em resposta, um representante da gangue Conti postou uma longa mensagem em 22 de outubro, em um fórum de hackers em língua russa, denunciando o ataque a REvil como o “comportamento unilateral, extraterritorial e de assalto de bandidos dos Estados Unidos nos assuntos mundiais”.

“Existe uma lei, mesmo americana, mesmo local em qualquer condado de qualquer um dos 50 estados, que legitime tal ação ofensiva indiscriminada?” Diz a mensagem do Conti. “A invasão de servidores repentinamente é legal nos Estados Unidos ou em qualquer uma das jurisdições dos Estados Unidos? Suponha que haja uma lei ultrajante que permita invadir servidores em um país estrangeiro. Quão legal é isso do ponto de vista do país cujos servidores foram atacados? A infraestrutura não está voando lá no espaço ou flutuando em águas neutras. É parte da soberania de alguém.”.

A aparente nova direção de Conti pode ser pouco mais do que outro estratagema para trazer as empresas vítimas para a mesa de negociações, como em “pague ou alguém pagará pelos seus dados ou terá miséria a longo prazo se você não pagar”.

Ou talvez algo tenha se perdido na tradução do russo (o blog de Conti é publicado em inglês). Mas, ao mudar o modelo de implantação de malware ransomware para a venda de dados roubados e acesso à rede, a Conti pode estar alinhando suas operações com muitos programas afiliados de ransomware concorrentes, que recentemente se concentraram em extorquir empresas em troca da promessa de não publicar ou vender dados roubados.

No entanto, como o Digital Shadows aponta em um relatório recente sobre ransomware, muitos grupos de ransomware estão encontrando dificuldades para gerenciar sites de vazamento de dados ou hospedar dados roubados na dark web para download.

Afinal, quando se leva semanas para baixar os dados de uma vítima via Tor – se de fato o download for bem-sucedido – a ameaça de vazamento de dados confidenciais como uma tática de negociação perde parte de sua essência da ameaça inicial. E também é uma experiência péssima para o usuário destas ações criminosas. Isso tem resultado em alguns grupos de ransomware expondo dados usando sites públicos de compartilhamento de arquivos, que são mais rápidos e confiáveis, mas podem ser retirados por meios legais muito rapidamente.

Os sites de vazamento de dados também podem oferecer aos investigadores uma maneira potencial de se infiltrar em gangues de ransomware, como evidenciado pelo recente comprometimento relatado da gangue REvil pelas autoridades dos EUA.

O programa de afiliados Conti ransomware parece ter alterado seu plano de negócios recentemente. Organizações infectadas com malware da Conti que se recusam a negociar um pagamento de resgate são adicionadas ao blog para envergonhar as vítimas da Conti, onde arquivos confidenciais roubados das vítimas podem ser publicados ou vendidos. Mas em algum momento nas últimas 48 horas, o cybercriminal syndicate atualizou seu blog para envergonhar vítimas e indicar que agora está vendendo acesso a muitas das organizações que foram invadidas.

“Em 17 de outubro de 2021, um representante da gangue de ransomware REvil levou a um fórum de criminosos de língua russa para revelar que seus sites de vazamento de dados haviam sido ‘sequestrados’”, escreveu Ivan Righi da Digital Shadows. “O membro do REvil explicou que um indivíduo desconhecido acessou os serviços ocultos da página de destino e do blog do site do REvil, usando a mesma chave de acesso que era de propriedade dos desenvolvedores. O usuário membro do REvil, que forneceu estas informações, acreditava que os servidores da gangue de ransomware haviam sido comprometidos e o indivíduo responsável pelo comprometimento estava ‘procurando’ por ele. ”

Um relatório recente da Mandiant revelou que FIN12 – o grupo considerado responsável pelas operações de ransomware Conti e Ryuk – conseguiu conduzir ataques de infiltração de ransomware em menos de 3 dias, em comparação com mais de 12 dias para ataques envolvendo exfiltração de dados.

Visto por esses números, talvez a Conti esteja apenas procurando terceirizar mais do lado de exfiltração de dados do negócio (por uma taxa, é claro), para que possa se concentrar no esquema menos demorado, mas igualmente lucrativo, de implantação de ransomware.

“Com a aproximação do quarto trimestre, será interessante ver se os problemas relacionados ao gerenciamento de sites de vazamento de dados desencorajarão novos grupos de ransomware de buscar o caminho dos sites de vazamento de dados, ou quais soluções criativas eles criarão para contornar esses problemas, Righi concluiu. É fato que alguns grupos tem tido sucesso mesmo sem precisar de um site de vazamento de dados e de exfiltração”.

Fonte: krebsonsecurity.com

Posts relacionados: Como age um ransomware e como evitá-lo / NCIJTF lança ficha informativa sobre riscos de Ransomware e G7 faz apelo à Rússia para reprimir gangues de ransomware