Os atores do ransomware têm a intenção de complicar o processo de recuperação para as vítimas, de modo que estejam mais dispostos a pagar.
A extorsão dupla é um exemplo disso em ação. Afinal, os backups de dados não podem reverter o roubo de dados. Os atores do ransomware podem, portanto, usar a extorsão dupla para criar ainda mais pressão para as vítimas – mesmo aquelas com backups de dados – para pagar o resgate.
Eles também podem aproveitar a técnica para exigir dois resgates, um para uma ferramenta de descriptografia e outro para a exclusão dos dados roubados da vítima.
Mesmo assim, a extorsão dupla não é a única tática pela qual os atores do ransomware estão tentando complicar os esforços de recuperação das vítimas. Alguns invasores estão usando uma tática ainda mais recente chamada “criptografia dupla”. Vamos investigar como essa prática funciona a seguir.
O funcionamento interno da criptografia dupla
Conforme anunciado pela primeira vez pela Emsisoft em maio de 2021, a criptografia dupla é onde os atores do ransomware escolhem criptografar os dados da vítima usando duas variedades diferentes de ransomware.
As instâncias de criptografia dupla geralmente assumem uma de duas formas. Em ataques envolvendo criptografia em camadas, por exemplo, os agentes mal-intencionados criptografam os dados da vítima usando a primeira cepa antes de criptografar todas as mesmas informações com o segundo ransomware. Em contraste, a criptografia lado a lado alavanca duas cepas de ransomware simultaneamente para criptografar diferentes sistemas e dados.
“Os grupos estão constantemente tentando descobrir quais estratégias são melhores, que rendem mais dinheiro com o mínimo de esforço”, observou o analista de ameaças da Emsisoft Brett Callow, citado pela Wired . “Portanto, nesta abordagem, você tem um único ator implantando dois tipos de ransomware. A vítima descriptografa seus dados e descobre que não foram realmente descriptografados. ”
A criptografia dupla não é uma tática teórica. Pelo contrário, a Emsisoft observou que tem visto casos de afiliados criptografando dados das vítimas usando REvil e Netwalker. A empresa de segurança também encontrou alguns casos em que os invasores usaram as cepas de ransomware MedusaLocker e GlobeImposter em conjunto.
O impacto da criptografia dupla
A criptografia dupla injeta outra camada de criptografia em um ataque de ransomware, conforme observado pela Emsisoft, às vezes complicando os esforços de recuperação das organizações. Isso é especialmente prevalente em instâncias que envolvem criptografia lado a lado, pois alguns agentes mal-intencionados projetam seus ataques de ransomware para anexar arquivos criptografados com a mesma extensão. Em cenários em que a vítima decide pagar, pode ser necessário aplicar os utilitários de descriptografia fornecidos por tentativa e erro.
Restaurar a partir de backups não exige mais esforço em uma instância de criptografia dupla do que em um ataque de ransomware tradicional.
“A correção dos backups é um processo longo e complexo, mas a criptografia dupla não o complica ainda mais”, diz Callow. “Se você decidir reconstruir a partir de backups, estará começando do zero, então não importa quantas vezes os dados antigos foram criptografados.”
As consequências da criptografia dupla vão além de apenas complicar os esforços de recuperação das vítimas.
Conforme observado pela Emsisoft, os afiliados podem usar criptografia dupla para aumentar seus pagamentos, exigindo pagamentos de resgate em relação a ambas as cepas de ransomware.
Eles também podem aproveitar a criptografia dupla para compensar os casos em que um tipo de ransomware não é implantado com sucesso, bem como para investigar qual variante de ransomware resulta em pagamentos de resgate mais altos – conhecimento que eles podem usar para organizar futuras campanhas de ataque.
Como se defender contra atores de ransomware usando criptografia dupla
Uma das melhores maneiras de as organizações se protegerem de instâncias de criptografia dupla é evitar que uma infecção de ransomware ocorra. Uma das maneiras de fazer isso é fortalecendo sua postura de segurança de e-mail. Para esse fim, as organizações podem investir em uma solução de segurança de e-mail que seja capaz de escanear suas mensagens de e-mail recebidas em busca de padrões de campanha e outros indicadores de ameaça em tempo real, permitindo assim que a correspondência legítima chegue ao destino pretendido.
As organizações também podem auditar suas redes, software e seus ambientes de e-mail em busca de vulnerabilidades para remediar quaisquer problemas de segurança em potencial.
Fonte: ZIX
Reflexões sobre os ataques de Ransomware. Por Anchises Moraes
Ragnarok – Grupo de Ransomware revela sua chave de decriptografia
O Crypto ID é a maior fonte de consulta sobre criptografia no Brasil e na América Latina
Criptografia forte é o padrão que mantém bilhões de pessoas, empresas e nações seguras todos os dias
O Crypto ID é a sua porta de entrada para o mundo fascinante da criptografia, com conteúdos que exploram desde os fundamentos da cripto-agil até as mais recentes inovações em criptografia pós-quântica a geração de chaves baseada em fenômenos quânticos com o comportamento de partículas subatômicas.
Acesse agora a Coluna Criptografia e mantenha-se atualizado sobre as últimas tendências em segurança da informação.
Gostou? Compartilhe com seus amigos e colegas!