Os operadores do ransomware DoppelPaymer lançaram um site que eles usarão para envergonhar as vítimas que não pagam um resgate e para publicar quaisquer arquivos que foram roubados antes da criptografia dos computadores.
Ransomware DoppelPaymer lança site para publicar dados das vítimas
Um novo método de extorsão iniciado pelo Maze Ransomware é roubar arquivos antes de criptografá-los. Dessa maneira, eles podem usá-los como alavanca para fazer com que as vítimas paguem o resgate.
Se um resgate não for pago, os operadores do ransomware liberam os arquivos roubados em um site público de ‘notícias’ para expor a vítima a multas, ações judiciais e o risco de o ataque ser classificado como violação de dados.
Além disso, logo após o início dessa tática, outras famílias de ransomware, incluindo Sodinokibi, Nemty e DoppelPaymer, declararam que iniciariam essa prática.
O DoppelPaymer é um ransomware de alvo corporativo que compromete uma rede corporativa, eventualmente obtém acesso a credenciais de administrador e, em seguida, implanta o ransomware na rede para criptografar todos os dispositivos. Como esses ataques criptografam centenas, senão milhares, de dispositivos, eles tendem a ter um enorme impacto nos operadores e os invasores exigem um resgate muito grande.
Os operadores de ransomware afirmam que criaram este site como uma ameaça às vítimas que, se não pagarem, seus dados e nomes serão vazados pelos atacantes.
Site ainda está em “modo de teste”
Os operadores do ransomware disseram ao site Bleeping Computer que este novo site está em “modo de teste”. Além disso, atualmente ele está sendo usado principalmente para envergonhar suas vítimas e para publicar alguns arquivos que foram roubados das vítimas.
Atualmente listadas neste site, há quatro empresas que o DoppelPaymer afirma ter criptografado e que não pagaram o resgate.
De todos os sites, o DoppelPaymer disse que eles apenas roubaram uma grande quantidade de arquivos “ainda não classificados” da Pemex.
Para as outras três empresas, eles apenas roubaram alguns arquivos porque não havia “nada de interessante” ou porque “não era nosso objetivo”.
Eles declararam que planejam realizar mais exfiltração de dados agora que este site foi criado.
Trate ataques de ransomware como violações de dados!
O site Bleeping Computer afirmou repetidamente que os ataques de ransomware devem ser tratados como violações de dados.
Durante anos, é um segredo bem conhecido que os invasores de ransomware estão examinando e roubando os arquivos das vítimas antes de criptografar os computadores e ameaçando liberá-los.
As empresas precisam ser transparentes sobre o roubo de dados e tratar esses ataques como violações de dados.
Isso ocorre porque não são apenas roubados dados corporativos, mas também dados de fornecedores e clientes e informações pessoais de funcionários.
A transparência é mais importante agora do que nunca. Além disso, ocultar esses ataques está colocando seus funcionários em risco a longo prazo, pois seus dados são expostos a roubo de identidade e fraude.
Fonte: Bleeping Computer