Yoda disse uma vez que “o medo da perda é um caminho para o lado negro” e, embora ele não estivesse falando sobre a última ameaça à segurança cibernética, poderia facilmente estar.
O grupo de cibercriminosos DarkSide (ou Lado Negro,cujo nome é inspirado pelos membros maquiavélicos da franquia Star Wars) está ativo há menos de duas semanas, mas seus ataques altamente direcionados já estão rendendo muito dinheiro ao grupo.
Para se ter uma ideia, o medo da perda de dados de usuários e clientes é o caminho que aparentemente levou pelo menos uma vítima de ransomware – uma empresa emergente – a pagar o 1 milhão de dólares de resgate exigido.
E, seguindo o que se tornou uma espécie de norma para os cibercriminosos por trás das principais ameaças de ransomware ao redor do mundo, o DarkSide se revelou por meio de um comunicado à imprensa, conforme relatado pela Bleeping Computer.
O comunicado, adequadamente hospedado em um site da Dark Web e datado de 10 de agosto de 2020, afirma que “o DarkSide é um grupo novo no mercado, mas isso não significa que não temos experiência e viemos do nada”.
A ameaça de 1 milhão de dólares da DarkSide
Os cibercriminosos afirmam já ter obtido “milhões de dólares de lucro” por meio de parcerias com outros criminosos especializados em ransomware, mas criaram o DarkSide porque a busca por um “produto perfeito” de ataque cryptolocker não deu certo.
DarkSide é, eles afirmam, o produto perfeito.
De acordo com Lawrence Abrams, da Bleeping, pelo menos uma vítima desta ameaça recentemente desenvolvida parece ter pago um resgate de mais de 1 milhão de dólares.
Aliás, os resgates, de modo geral, variam de 200.000 dólares a 2 milhões de dólares, mas esses números dobram se a janela concedida para o pagamento inicial não for cumprida.
DarkSide afirma ter como alvo apenas aqueles que “podem pagar”
Com cruel ironia, a gangue DarkSide afirma que “não quer acabar com o seu negócio” e que vai “atacar apenas empresas que possam pagar a quantia solicitada”.
Supõe-se que isso explica as variações do resgate, pois os ataques aparentam ser altamente direcionados e levar em conta duas variáveis: quão alto pode ser o valor de um resgate e qual é a chance de pagamento. Geralmente, a DarkSide opera, nos dois casos, com o valor mais alto possível e boas chances de extorsão.
Na verdade, o que essa declaração quer dizer é que o grupo analisa os registros contábeis das empresas e determina quanto pode ser pago com base na receita líquida.
O DarkSide também disse, no comunicado à imprensa. que não teria como alvo hospitais, hospícios, escolas, universidades, organizações sem fins lucrativos ou o setor governamental.
As gangues de ransomware DoppelPaymer e Maze já fizeram promessas semelhantes, relacionadas ao setor de saúde, durante o início da pandemia do COVID-19.
Outros criminosos de ransomware não foram tão indulgentes, como o NetWalker, que atingiu o UCSF e extraiu com sucesso um resgate de 1,14 milhão de dólares.
Resta esperar para saber se a gangue DarkSide será fiel à sua palavra.
“Levamos nossa reputação muito a sério”, disseram os operadores do DarkSide, acrescentando que, se os resgates forem pagos, “todas as garantias serão cumpridas.”
Essas garantias parecem estar relacionadas à prática – agora padrão – de exfiltrar dados antes de criptografar as redes.
Como “voto de confiança”, o grupo DarkSide disse que garantiria a descriptografia de um arquivo de teste, forneceria suporte para descriptografia após o pagamento e excluiria todos os dados subidos às lojas na Dark Web.
Se os pagamentos não forem feitos, os criminosos ameaçam publicar todos os dados e mantê-los armazenados por pelo menos seis meses, notificando a mídia, clientes e parceiros sobre o incidente.
Quão nova é a equipe criminosa DarkSide?
Se tudo isso parece bastante familiar, é porque é. Embora o DarkSide afirme ser novo, e os ataques de ransomware específicos o sejam, a metodologia é experimentada e testada há bastante tempo.
Além disso, foi sugerido que existem semelhanças no próprio malware que ligam o grupo DarkSide ao REvil e ao GandCrab, anteriores a eles. Isso não quer dizer que os operadores REvil, de grande sucesso no cibercrime, estão evoluindo para algo novo, mas esses links são interessantes de serem observados.
E por falar em notas, até mesmo as notas de resgate personalizadas “Welcome to the Dark Side”, que a DarkSide, usa parecem ser baseadas em modelos do REvil.
Combatendo a ameaça do “Lado Negro da Força”
Trazendo o Yoda de volta à história, e sua citação clássica sobre o “medo da perda”, reduzir o risco da perda de dados é a chave para usar a força da segurança cibernética contra o “Lado Negro”.
Sejam quem sejam e de onde quer que eles tenham vindo, o grupo DarkSide certamente é mais um player no universo do ransomware que deve levado a sério e do qual as empresas devem se prevenir.
Isso significa voltar aos princípios de limpeza de sistemas e segurança de rede, garantindo que sua organização esteja fazendo mais do que apenas fazer backups de dados. Você tem que diminuir o risco de ataque, diminuir a superfície de ataque e tornar a segurança sua maior prioridade nos negócios.
Portanto, mantenha todos os softwares corrigidos e atualizados, certifique-se de que uma autenticação forte, preferencialmente de dois fatores, seja usada onde quer que esteja, eduque todos, desde o chão de fábrica até a diretoria, para estarem cientes e “acordar” para as ameaças que permitem que invasores ransomware entrem na rede.
Torne as coisas mais difíceis, e não mais fáceis, para os cibercriminosos.
Conte com a assessoria de especialistas da Compugraf para manter sua empresa segura.
