O FBI alerta sobre uma nova tática de extorsão: ameaçar derrubar os preços das ações de empresas de capital aberto para fazer com que as vítimas paguem o resgate
Gangues de ransomware estão se concentrando em empresas de capital aberto, ameaçando exposição financeira a fim de persuadir as empresas a realizarem o pagamento de resgate, alertou o FBI.
Em um alerta emitido esta semana [disponível aqui], a agência disse que a atividade cibecriminosa, ao longo do ano passado mostra uma tendência de mirar em empresas que se aproximam de “eventos financeiros significativos e urgentes”, como relatórios de lucros trimestrais e registros obrigatórios da SEC, ofertas públicas iniciais, atividades de M&A, lançamento de IPO e assim por diante. A ideia é aumentar os parafusos de extorsão, ameaçando vazar informações roubadas relevantes para esses eventos se a vítima não pagar.
“Eventos iminentes que podem afetar o valor das ações da vítima, como anúncios [ou] fusões e aquisições, incentivam os agentes de ransomware a direcionar uma rede ou ajustar seu cronograma para extorsão”, observaram os agentes de segurança.
Ações na bolsa de valores são alavancas para o resgate
No ano passado, o ator de ransomware que atende pelo apelido de “Unkown” (que se acredita ser um ex-líder do grupo REvil) pareceu arquitetar a abordagem, sugerindo, no fórum de hackers Exploit Russian, que uma boa maneira de influenciar os alvos a ceder ao resgate é referenciando sua presença corporativa na bolsa de valores NASDAQ.
Logo, alguns estavam seguindo o conselho: “Seguindo esta postagem, atores de ransomware não-identificados, que negociavam pagamento com uma vítima durante um evento de ransomware em março de 2020, declararam, na nota de resgate: ‘notamos que você tem ações. Se você não considerar a negociação, vazaremos os seus dados para o NASDAQ [sic] e veremos o que vai [sic] acontecer com suas ações’”, informa o alerta do FBI.
Também no ano passado, pelo menos três empresas americanas de capital aberto ativamente envolvidas em negociações de M&A foram atingidas por ransomware. Além disso, uma análise técnica do trojan de acesso remoto Pyxie (que atua como um implante de primeiro estágio que eventualmente entrega o ransomware Defray777 / RansomEXX) revelou várias pesquisas de palavras-chave relacionadas a movimentações financeiras relevantes, disse o FBI.
Isso incluiu o “10-Q,” referindo-se a um relatório trimestral que deve ser submetido por todas as empresas de capital aberto, divulgando informações relevantes sobre finanças; “10-SB”, que é um formulário usado para registrar os títulos de pequenas empresas que desejam negociar nas bolsas dos EUA; e “N-CSR”, um formulário que deve ser preenchido no prazo de 10 dias após a emissão de relatórios anuais e semestrais da empresa aos acionistas. Outras palavras-chave incluem NASDAQ, MarketWired e Newswire.
Em abril, a gangue de ransomware DarkSide postou um plano para usar o preço das ações das vítimas como uma forma de extorsão, de acordo com o FBI, e se ofereceu para ensinar a outros grupos como fazer a mesma coisa .
A mensagem dizia: “Agora nossa equipe e parceiros criptografam muitas empresas que estão negociando na NASDAQ e em outras bolsas de valores. Caso a empresa se recuse a pagar, estamos prontos para prestar informações antes da publicação, para que seja possível ganhar na redução do preço das ações. Escreva-nos em ‘Contacte-nos’ e iremos fornecer-lhe informações detalhadas.”
Bill Lawrence, CISO da SecurityGate, uma empresa de segurança, observou que as empresas agora devem estar em alerta máximo ao abrir o capital, executar fusões ou aquisições ou passar por outros eventos financeiros significativos – e devem controlar rigidamente as informações, incluindo informações públicas.
“As empresas devem manter a guarda alta especialmente durante esses tipos de eventos e usar testadores de invasão de terceiros e avaliações de risco completas para tentar encontrar as lacunas de segurança e os tipos de dados que seriam úteis para os criminosos”, observou. “Eles devem sempre garantir que suas informações públicas sejam controladas com cuidado, enquanto dados financeiros confidenciais ou outros são criptografados e armazenados em outro local seguro. A autenticação de dois e vários fatores pode ajudar a proteger contas vulneráveis ”.
Além disso, a ação preventiva mais importante que qualquer empresa pode fazer é investir em uma equipe de segurança cibernética, sugerem especialistas
Evolução das táticas de extorsão de ransomware
O direcionamento de informações especificamente prejudiciais ao preço das ações não é a única tendência emergente de ransomware. Na semana passada, o FBI disse que o grupo de cibercriminosos Hello Kitty (também conhecido como FiveHands) acrescentou a ameaça de ataques distribuídos de negação de serviço (DDoS) ao seu mix de táticas de persuasão.
“Os criminosos da Hello Kitty pressionam agressivamente as vítimas, normalmente usando a técnica de extorsão dupla”, alertou o FBI, referindo-se ao golpe duplo de criptografar arquivos e extrair informações para tornar públicas se os resgates não forem pagos. Ele acrescentou: “em alguns casos, se a vítima não responder rapidamente ou não pagar o resgate, os atores da ameaça irão lançar um ataque [DDoS] no site da vítima.”
A Hello Kitty é conhecida por atingir o CD Projekt Red, desenvolvedor de jogos por trás do “Cyberpunk 2077”, com um ataque ransomware no início deste ano. Normalmente, a gangue adapta suas demandas de resgate aos alvos e é conhecido por usar credenciais comprometidas ou vulnerabilidades conhecidas (corrigidas) em produtos SonicWall para acesso inicial a redes corporativas.
Quer manter sua empresa protegida dessa e de outras ameaças? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
