Os Operadores do LockBit Tomam Emprestada a Tática de Extorsão das Ameaças REvil e Maze Malware

Seguindo o exemplo dos operadores por trás do REvil e do Maze, muitas outras famílias de ransomware começaram a atualizar o seu arsenal com ferramentas que lhes permitem ganhar vantagem quando se trata da coleta do resgate.

Uma coisa, em particular, tem sido a tendência nos últimos meses, que é o roubo de dados das vítimas. Os autores de ameaças por trás do LockBit ransomware também chegaram a uma nova fase no desenvolvimento do seu ransomware, o que lhes permite roubar dados confidenciais das vítimas e ameaçar liberá-los.

O LockBit Ransomware também parece ter entrado em uma fase na qual os seus desenvolvedores se sentem confortáveis em oferecê-lo em fóruns como um ransomware como serviço (RaaS). Eles criaram um tópico chamado "LockBit Cryptlocker Affiliate Program" ("Programa de afiliados ao LockBit Cryptlocker") em um fórum subterrâneo conhecido em janeiro, divulgando os recursos do seu produto. Desde a publicação, descobrimos que a nova versão do LockBit Ransomware está em desenvolvimento desde setembro de 2019. A versão mais recente também aprimora o desempenho, usando uma quantidade menor de recursos do sistema, na tentativa de aprimorar a prevenção de detecção.

Os operadores do LockBit dizem que "não trabalham na CEI", o que significa que o ransomware está programado para evitar a infecção de sistemas localizados na Comunidade de Estados Independentes, tais como a Rússia, Azerbaijão, Bielorrússia, Cazaquistão, Quirguistão, Armênia, Moldávia, Tajiquistão e Uzbequistão.

Método de Extorsão em Evolução

A versão mais recente do LockBit lança uma nota de resgate que é bastante curta e vai direto ao ponto. Os invasores informam a vítima que, além de criptografar os seus arquivos, eles também "baixam uma grande quantidade de dados privados, incluindo informações financeiras, informações pessoais dos clientes, diagramas de rede, senhas e assim por diante. Não se esqueça do GDPR".

Como mencionado anteriormente, no GDPR da UE, as empresas e organizações são responsáveis por garantir os dados de clientes que eles mantêm ou enfrentam sanções das autoridades. Ameaçar publicar dados valiosos que podem incluir segredos comerciais, correspondência embaraçosa e informações confidenciais de clientes e funcionários tornou-se um item básico das gangues de ransomware que desejam incentivar as suas vítimas a pagar.

Roubar essas informações também oferece aos atacantes uma maneira de extorquir a vítima, mesmo que eles tenham se preparados para um ataque de ransomware fazendo o backup dos seus sistemas. Essa tática foi introduzida pela primeira vez pelas gangues do Maze e do REvil Ransomware, com o Maze publicando blocos de dados quando as vítimas não conseguiram atender o pedido de resgate, mas eliminando os vazamentos assim que pagaram. Nem é preciso dizer que qualquer dado que entra na Internet uma vez nunca poderá estar seguro novamente, mesmo que o editor inicial o remova.