A gangue de ransomware ALPHV fez algo impensável, em sua tática de extorsão, os dados roubados foram vazados em um clone do site da vítima.
Sim. Os operadores do ALPHV ransomware foram criativos com sua tática de extorsão e, em pelo menos um caso, criaram uma réplica do site da vítima para publicar dados roubados nele.
Dados roubados foram vazados em um clone do site da vítima
Parece que o ALPHV, também conhecido como ransomware BlackCat, é conhecido por testar novas táticas de extorsão como forma de pressionar e envergonhar suas vítimas para que paguem.
Embora essas táticas possam não ser bem-sucedidas, elas introduzem um cenário de ameaças cada vez maior no qual as vítimas precisam navegar.
Em 26 de dezembro, o agente da ameaça publicou em seu site de vazamento de dados oculto na rede Tor que havia comprometido uma empresa de serviços financeiros.
Como a vítima não atendeu às demandas do agente da ameaça, a BlackCat publicou todos os arquivos roubados como penalidade – uma etapa padrão para os operadores de ransomware.
Como um desvio do processo usual, os hackers decidiram também vazar os dados em um site que imita o da vítima, tanto quanto a aparência e o nome de domínio.
Os hackers não mantiveram os títulos originais do site. Eles usaram seus próprios cabeçalhos para organizar os dados vazados.
O site clonado está na web limpa para garantir a ampla disponibilidade dos arquivos roubados.
Atualmente, ele mostra vários documentos, desde memorandos a funcionários, formulários de pagamento, informações de funcionários, dados sobre ativos e despesas, dados financeiros de parceiros e digitalizações de passaporte.
No total, são 3,5 GB de documentos. O ALPHV também compartilhou os dados roubados em um serviço de compartilhamento de arquivos que permite o upload anônimo e distribuiu o link em seu site de vazamento.
Nova tendência se formando
Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft, disse que compartilhar os dados em um domínio typosquatted seria uma preocupação maior para a empresa vítima do que distribuir os dados por meio de um site na rede Tor, conhecida principalmente pela comunidade infosec.
“Eu não ficaria nem um pouco surpreso se Alphv tivesse tentado armar os clientes da empresa, apontando-os para aquele site.” Brett Callow
Essa tática pode representar o início de uma nova tendência que pode ser adotada por outras gangues de ransomware, especialmente porque os custos para isso estão longe de ser significativos.
As operações de ransomware sempre buscaram novas opções para extorquir suas vítimas.
Entre publicar o nome da empresa violada, roubar dados e ameaçar publicá-los a menos que o resgate seja pago e a ameaça DDoS, essa tática pode representar o início de uma nova tendência que pode ser adotada por outras gangues de ransomware, especialmente porque os custos para fazê-lo estão longe de serem significativos.
Não está claro neste momento o sucesso desse estratagema, mas expõe a violação a um público maior, colocando a vítima em uma posição mais delicada, pois seus dados estão prontamente disponíveis sem qualquer restrição.
ALPHV é a primeira gangue de ransomware a criar uma busca por dados específicos roubados de suas vítimas. As páginas são para clientes e funcionários de suas vítimas verificarem se seus dados foram roubados pelos hackers.