Uma série de ataques de ransomware na semana passada afetou os cuidados médicos e centenas de milhares de entregas de encomendas durante a pandemia - e até um fabricante de lingerie. Os invasores ameaçam vazar dados confidenciais se as empresas falharem nos pagamentos necessários.

A ITNews informou que o gigante da logística australiano Toll Group sofreu seu segundo ataque de ransomware este ano, com um tipo de ransomware conhecido como "Nefilim".

O Toll Group desligou seu sistema de TI depois de detectar "atividades incomuns". A empresa - responsável por entregar centenas de milhares de encomendas por dia - confirmou que o ataque ransomware não estava relacionado ao ocorrido no início deste ano.

O Toll Group está adotando uma linha dura, assegurando à mídia que não pagaria o resgate, como no primeiro ataque sofrido no início de 2020. Está mudando para processos manuais para fazer o sistema voltar a funcionar.

Ameaça de expor informações "secretas"

A Sky News informou que a MAS Holdings também foi atacada, assim como a cantora Beyonce e a Victoria's Secret, fabricante de lingerie, com as informações mais recentes indicando que a tentativa de extorsão também é via Nefilim.

O grupo criminoso alega ter roubado 300 GB de arquivos particulares e postado alguns dos documentos supostamente roubados como prova.

A Sky News informou que os hackers poderiam tentar explorar a violação para atingir os parceiros comerciais da empresa. A MAS Holdings se recusou a comentar se havia alertado seus parceiros ou se algum dos dados havia sido afetado. Em um email, a empresa disse:

"A MAS está constantemente revisando sua postura de segurança e alguns atores tentam invadir nossa rede às vezes. Também adotamos as melhores práticas alinhadas com os padrões do setor no gerenciamento de tais ameaças".

E em 29 de abril, o Cointelegraph relatou um ataque de ransomware direcionado ao Parkview Medical Center, no Colorado, que tornou a infraestrutura técnica que mantinha as informações dos pacientes inoperantes.

Tendência crescente para ransomware

Falando com o Cointelegraph, Brett Callow, analista de ameaças da Emsisoft, deu detalhes adicionais sobre o ataque:

“Exfiltrar os provedores de dados dos grupos de crimes cibernéticos com alavancagem adicional para extorquir pagamentos e também adicioná-los com opções adicionais de monetização. Caso a empresa não pague, os dados roubados podem ser vendidos ou comercializados. De fato, os atores podem fazer isso independentemente de a empresa pagar ou não.”

Segundo Callow, a análise revelou que há evidências claras de que os dados roubados nesses ataques foram vendidos aos concorrentes da empresa-alvo e comercializados na dark web, usados para spear-phish e usados para roubo de identidade.

Criminosos cibernéticos vazaram dados como evidência do ataque

Os cibercriminosos alegaram que obtiveram 300 GB de arquivos privados da MAS Holdings e, como prova, eles já haviam publicado alguns documentos roubados.

A Callow acredita que esse tipo de ransomware está mostrando uma "tendência crescente" no mundo do crime cibernético:

“O primeiro grupo a roubar e publicar dados foi o Maze no final do ano passado. Desde então, vários outros grupos adotaram a mesma estratégia, portanto é uma estratégia que obviamente funciona. Em um caso, o grupo Maze pediu US$ 2 milhões: US$ 1 milhão para descriptografar os dados e mais US$ 1 milhão para destruir a cópia roubada. O "resgate" varia de vítima para vítima e de caso para caso.”

No entanto, a Emsisoft revelou um declínio considerável nos ataques bem-sucedidos de ransomware, pelo menos nos Estados Unidos, durante o primeiro trimestre de 2020.

Leia mais: