Não contentes com suas táticas inovadoras de pressão às vítimas, a gangue de ransomware DarkSide deu uma passo adiante com o DarkSide Leaks, site com aparência profissional que poderia muito bem ser de uma prestadora de serviços online, e está usando as mais tradicionais técnicas de marketing. A seguir estão os cinco exemplos mais ilustrativos da transformação de uma gangue de cibercriminosos clandestinos em uma empresa.
1. Contatos de mídia
Empresas legítimas sempre provêm algum tipo de centro de imprensa ou zona de mídia. Os cibercriminosos da DarkSide seguiram o exemplo, publicando notícias sobre futuros vazamentos e permitindo com que jornalistas fizessem perguntas ao seu centro de imprensa.
Pelo menos, é o que dizem. Na realidade, o objetivo do DarkSide é gerar o máximo de burburinho online possível. Mais atenção da mídia pode levar a um medo mais generalizado do DarkSide, potencialmente significando uma chance maior de a próxima vítima decidir apenas pagar em vez de causar problemas.
2. Parcerias com empresas de descriptografia
Os extorsionários do DarkSide estão procurando parceiros entre empresas que fornecem serviços legítimos de descriptografia de dados. O motivo aparente é que algumas vítimas não têm seus próprios departamentos de informação e dependem de especialistas externos para quebrar a criptografia de seus dados. O DarkSide oferece a esses especialistas suporte técnico e descontos vinculados à quantidade de trabalho que realizam.
O subterfúgio deve ser óbvio. Os criminosos não estão procurando vítimas que não podem descriptografar os dados; eles estão procurando por muito dinheiro. Empresas estatais podem ser proibidas de negociar com cibercriminosos, mas são livres para trabalhar com empresas que prestam serviços de descriptografia. Este último atua como uma espécie de intermediário neste caso, fingindo restaurar os dados, mas na verdade simplesmente pagando os bandidos e embolsando o troco. Isso pode ser legal, mas cheira fortemente a conluio criminoso.
3. Doações de caridade
Os extorsionários têm feito doações para instituições de caridade, e eles publicam sobre essas doações no DarkSide Leaks. Por que se importar? Aparentemente, para persuadir os relutantes em pagar o resgate de que parte do dinheiro irá para uma boa causa.
Aqui, temos outro problema: alguns países, incluindo os EUA, proíbem organizações de caridade de aceitar dinheiro obtido ilegalmente. Em outras palavras, esses pagamentos nunca chegariam realmente a eles.
4. Análise de negócios
Originalmente, ninguém além de criminosos e alguns especialistas em segurança da informação tendiam a ver as informações roubadas dos operadores de ransomware postadas, normalmente em fóruns de hackers. Agora, alguns cibercriminosos adicionaram dados e análises de mercado e procuram alavancagem nos contatos da empresa, clientes, parceiros e concorrentes antes de vazar informações roubadas. Eles podem então enviar links para arquivos roubados diretamente às partes interessadas. O objetivo principal, novamente, é infligir o máximo de dano ao alvo, de modo a encorajar o pagamento e intimidar futuras vítimas.
5. Declaração de princípios morais
DarkSide Leaks contém uma declaração de princípios éticos – exatamente como as que empresas reais publicam em seus sites. Aqui, os cibercriminosos fazem alegações, por exemplo, dizendo que nunca atacariam empresas médicas, casas funerárias, instituições educacionais ou organizações sem fins lucrativos ou governamentais. Nesse caso, não temos certeza de qual seria o objetivo desta declaração. A vítima deve pensar: “Essas pessoas se importam, então com certeza vou pagá-las”?
Um incidente recente envolvendo dados de crianças em idade escolar revela a mentira. Tecnicamente, esse alvo não era uma instituição educacional, mas sim os dados da escola que os criminosos ameaçaram publicar.
O que fazer?
Os cibercriminosos claramente têm os recursos para investir em análise de mercado, colaborações profissionais e caridade. O único jeito de derrotá-los é cortando sua fonte de renda. O que significa:
- Não pague o resgate. É uma jogada ousada que pode ter consequências, mas não pagar é o certo a se fazer. Veja o post de Eugene Kaspersky sobre como nunca devemos ceder às exigências destes golpistas;
- Instale uma solução de segurança confiável em todos os dispositivos conectados para cortar quaisquer esquemas de ransomware antes que eles comecem.