Grupos de ransomware começam a usar torrents para partilha de dados

Grupos de ransomware começam a usar torrents para partilha de dados

Os grupos de ransomware adaptam-se para facilitarem a forma de acesso aos dados que são roubados das empresas, e uma das formas que parece estar a ser adotada agora passa por usar torrents para a partilha dos dados.

O grupo Clop encontra-se a alterar a forma como distribui os conteúdos roubados das empresas atacadas, sobretudo sobre a onda de ataques explorando as falhas do software MOVEit. Invés de fornecer os dados diretamente para download, o grupo agora encontra-se a usar torrents para facilitar a partilha.

Em parte, esta medida foi adotada para permitir que os dados possam ficar disponíveis com velocidades mais elevadas de download, e também para prevenir que, no caso dos links originais ficarem indisponíveis, sejam impedidos os acessos.

Normalmente os ficheiros contendo os dados roubados das empresas são enviados via links da rede Tor, conhecida por ser particularmente lenta a nível de velocidade de transmissão. Usar torrents para este fim possui vantagens para o grupo e para quem pretenda aceder aos ficheiros.

Além disso, usando a tecnologia P2P, os dados podem ser partilhados mesmo que as fontes originais sejam bloqueadas – o que pode acontecer caso os links originais de partilha sejam desativados ou, por alguma razão, bloqueados pelas autoridades.

O grupo encontra-se já a usar torrents para fornecer alguns dados de empresas que foram atacadas nas últimas semanas. Entre estas encontram-se a Aon, K & L Gates, Putnam, Delaware Life, Zurich Brazil, e Heidelberg.

O grupo encontra-se ainda a fornecer informações no seu portal da dark web de como os utilizadores podem aceder aos torrents e descarregar a informação usando clientes de torrent – incluindo de forma anónima.

De notar que, mesmo que este método seja diferente do tradicional, a medida pode não garantir velocidades mais elevadas, o que pode variar conforme as fontes que estejam a distribuir os conteúdos – e tendo em conta que este género de conteúdos não será algo que todos pretendam manter-se a partilhar, possivelmente as fontes disponíveis serão as que estão em controlo dos próprios atacantes.