Operadores do BlackCat clonam site de vítima para vazar dados roubados

operadores-do-blackcat-clonam-site-de-vitima-para-vazar-dados-roubados

Os operadores do ransomware BlackCat usaram uma tática de extorsão bem ousada e, em pelo menos um caso, criaram um clone do site da vítima para publicar dados roubados nele.

Esse ransomware é conhecido por testar novas táticas de extorsão como forma de pressionar e envergonhar suas vítimas para que paguem pelo resgate dos dados roubados. Embora essas táticas possam não ser bem-sucedidas, elas introduzem um cenário de ameaças cada vez maior no qual as vítimas precisam navegar.

Hackers facilitam a obtenção de dados roubados

Em 26 de dezembro, o agente da ameaça publicou em seu site de vazamento de dados oculto na rede Tor que havia comprometido uma empresa de serviços financeiros. Como a vítima não atendeu às demandas do agente da ameaça, o BlackCat publicou todos os arquivos roubados como penalidade.

Como um desvio do processo usual, os hackers decidiram também vazar os dados em um site que imita o da vítima, tanto quanto a aparência e o nome de domínio. No entanto, os hackers não mantiveram os títulos originais do site. Eles usaram seus próprios cabeçalhos para organizar os dados vazados.

operadores-do-blackcat-clonam-site-de-vitima-para-vazar-dados-roubados

Operadores BlackCat clonam site de vítima

O site clonado está na web limpa para garantir a ampla disponibilidade dos arquivos roubados. Atualmente, ele mostra vários documentos, desde memorandos a funcionários, formulários de pagamento, informações de funcionários, dados sobre ativos e despesas, dados financeiros de parceiros e digitalizações de passaporte, segundo o Bleeping Computer.

No total, são 3,5 GB de documentos. O BlackCat também compartilhou os dados roubados em um serviço de compartilhamento de arquivos que permite o upload anônimo e distribuiu o link em seu site de vazamento.

Novas táticas de extorsão

Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft (Via: Bleeping Computer), disse que compartilhar os dados em um domínio typosquatted seria uma preocupação maior para a empresa vítima do que distribuir os dados por meio de um site na rede Tor, conhecida principalmente pela comunidade infosec.

Essa tática pode representar o início de uma nova tendência que pode ser adotada por outras gangues de ransomware, especialmente porque os custos para isso estão longe de ser significativos.

As operações de ransomware sempre buscaram novas opções para extorquir suas vítimas. Entre publicar o nome da empresa violada, roubar dados e ameaçar publicá-los a menos que o resgate seja pago e a ameaça DDoS, essa tática pode representar o início de uma nova tendência que pode ser adotada por outras gangues de ransomware, especialmente porque os custos para fazê-lo estão longe de serem significativos.

Não está claro neste momento o sucesso dessa tática, mas expõe a violação a um público maior, colocando a vítima em uma posição mais delicada, pois seus dados estão prontamente disponíveis sem qualquer restrição.