Grupos de ransomware começam a divulgar conversas com as empresas

Grupos de ransomware começam a divulgar conversas com as empresas

Muitos grupos de ransomware tendem a contactar as vítimas para tentarem que estas paguem o resgate dos conteúdos encriptados, bem como evitem que os conteúdos roubados sejam divulgados publicamente.

Isto ocorre como parte de uma negociação que existe em muitas situações entre as empresas e os responsáveis pelo ataque. Normalmente estas conversas são tidas entre as duas partes em segundo plano.

No entanto, uma nova tendência parece estar a surgir entre alguns grupos de ransomware. Em alguns ataques recentes, os grupos além de publicarem os conteúdos roubados das empresas, procedem também com a publicação das conversas realizadas com as entidades.

Esta medida será feita para colocar mais pressão sobre as empresas para evitarem ter os dados publicados e para realizarem o pagamento, evitando que as conversas sejam igualmente divulgadas.

Em alguns ataques estas conversações foram também divulgadas, e a maioria centra-se na tentativa de adiar a publicação dos dados ou reduzir o pagamento necessário para evitar a divulgação.

Além disso, alguns grupos também começaram a ter “extras” para a publicação de conteúdos. Por norma, os ficheiros roubados de diferentes entidades em ataques de ransomware são publicados ao fim de um determinado tempo. No entanto, grupos como o Lockbit agora começaram a permitir o pagamento de “extras” para gerir a forma como os conteúdos são divulgados.

Por exemplo, o grupo agora permite que as empresas paguem para aumentar o tempo até a divulgação dos dados, ou para destruir completamente os ficheiros disponíveis – possivelmente valores consideravelmente acima dos que foram alvo de tentativas de negociação.

Esta nova técnica pode colocar novas pressões sobre as empresas que estejam a ponderar realizar o pagamento, já que passam a incluir também as conversas tidas entre as duas partes.