A extorsão é uma prática antiga e muito utilizada ao longo da história e não demorou muito para essa prática ser adotada pelo cibercrime, apresentando uma combinação perigosa de exposição de dados e extorsão.
Além de perigosa, essa combinação vem causando prejuízos significativos, já que os crimes envolvendo exposição de dados e extorsão aparecem entre as práticas mais aplicadas.
Dados do FBI apresentam um valor total de U$ 368.284,871 perdidos em casos de extorsão de 2015 a 2021. Diante dos prejuízos, torna-se urgente entender as táticas, riscos e como mitigar essas ameaças. É o que faremos neste artigo.
As principais táticas de exposição de dados e extorsão
Historicamente falando, o primeiro caso de extorsão cibernética ocorreu em 1971, relatado por Thomas Whisteside, quando dois rolos de fita magnética de uma agência do Bank of America, em Los Angeles, foram roubados. Os criminosos tentaram extorquir o alvo em questão, o que só não ocorreu porque existia um backup em fita do material.
Com o passar do tempo, as estratégias de extorsão cibernética foram aprimoradas, indo além do roubo de informações e exigência de pagamento. Atualmente, envolvem diversas técnicas, que exigem um conhecimento aprofundado em diferentes especialidades e focos, mirando em tipos diferentes de dados confidenciais.
Categorias de dados
Quando falamos de roubo e extorsão, existem duas categorias de dados propensos a exposição:
- Dados em trânsito: são os dados em movimento constante que enviam comandos e solicitações pelas redes para outros servidores, aplicativos ou usuários. Dados em trânsito são altamente vulneráveis, principalmente quando se movimentam por canais desprotegidos ou para a interface de programação de aplicativos (API) que permite que os aplicativos se comuniquem entre si.
- Dados em repouso: são os dados armazenados em um sistema, seja uma máquina ou em uma rede. Podem ser classificados como menos vulneráveis e mais valiosos. Existem formas diferentes de roubar esses dados, além da possibilidade latente de um ataque de passagem de diretório para obtenção de acessos não autorizados em um servidor.
Tais categoriais lançam luz sobre o assunto e facilitam a compreensão das diferentes estratégias para exposição de dados. Vejamos agora algumas táticas principais:
Ataques DDoS
Os ataques distribuídos de negação de serviços são táticas utilizadas para atacar operações de um sistema ou rede, através da sobrecarga, para inviabilização parcial ou total deles. A utilização de DDoS é uma prática que eleva a extorsão do cibercrime a outro nível, podendo ser aplicada em ataques ransomware, como mostraremos posteriormente. As estratégias podem ser aplicadas de algumas diferentes formas.
Começando com ataques DDoS simples, com uma botnet para interromper redes, aplicativos ou serviços direcionados através de uma sobrecarga com uma inundação de tráfego da internet, tornando as funcionalidades lentas, até que parem de funcionar completamente. Os atacantes utilizam essa tática para arrecadar um valor inicial da vítima.
Apesar de relativamente simples, essa estratégia é preocupante, pois não requer muito dinheiro ou codificação para ser aplicada. Um exemplo disso, são as vendas de kits para ataques DDoS presentes na Deep & Dark Web por US$ 10.
Já os ataques DDoS direcionados são mais elaborados, comumente classificados como ataques de subtração. Ao mesmo tempo, em que inundam um firewall ou dispositivo IPS, esses ataques mantêm uma lista interna de conexões em tempo real, com o objetivo de rastrear conexões internas abertas para exploração, manipulando a rede sem interromper a conexão da vítima, evitando suspeitas.
Ataques DDoS de subtração possuem uma duração bem curta para dificultar a detecção. Existem alguns casos onde os ataques duram mais, como uma estratégia de distração, pois, enquanto os administradores focam em resolver o DDoS, o invasor pode explorar outras vulnerabilidades já identificadas. Esses ataques tornam o trabalho dos administradores ainda mais complicado, pois podem utilizar a manipulação avançada de protocolo como método de distração.
Tais táticas são aplicadas para exfiltração de dados, preparando o caminho para os ataques ransomware, uma estratégia que tem preocupado os líderes de cibersegurança.
Ransomware
O ransomware tornou-se uma preocupação para organizações e equipes de segurança ao redor do mundo. Em 2022 ataques ransomware dominaram o cenário de ameaças, chegando a quase dobrar o volume em relação ao ano anterior, o que resultou em um custo total de mais de US$20 bilhões. Consequentemente, o ransomware já é utilizado como balizador na avaliação de novas oportunidades de negócio, por mais da metade dos investidores, como apresentamos neste e-book exclusivo sobre Ransomware.
Quando falamos de extorsão de dados, é importante entender que o ransomware tornou-se um mercado muito lucrativo para o cibercrime. Desde 2020 as estratégias foram aprimoradas, dando espaço para tentativas de extorsões duplas e até triplas, com dados roubados, usando a criptografia de rede tradicional e a já conhecida exigência de resgate. Sendo assim, é válida uma análise com mais atenção sobre as técnicas de exfiltração de dados e extorsão através de ataques ransomware:
- A exfiltração automatizada é uma técnica focada em métodos automáticos, como a duplicação de tráfego, que agiliza o envio de dados de um sistema infectado para um servidor.
- Já a exfiltração por protocolo foca no uso de protocolos típicos de comando e controle, como os protocolos de rede simétricos, assimétricos ou não criptografados/ofuscados.
- Outra exploração feita para exfiltração de dados é a exfiltração pelo canal C2, focada em um comando existente e um canal de controle. Essa estratégia é mais utilizada para codificar os dados como comunicações normais, minimizando as conexões de saída para evitar a detecção.
- As mídias de rede também podem ser exploradas para exfiltração de dados. Mídias como Bluetooth e dados de celular podem ser utilizadas como uma alternativa, caso outras opções presentes na rede estejam inacessíveis ou se não estiverem adequadamente preparadas para exfiltrar dados sem risco de detecção.
- Por fim, a exfiltração de dados pode ser feita em horários específicos, uma técnica classificada como transferência programada, que combina o tráfego de transferência de dados com uma atividade normal, evitando a detecção da ameaça.
Além das diferentes possibilidades na exfiltração de dados, é importante entendermos a extorsão em multicamadas, estratégias que estão transformando os ataques ransomware que conhecemos. Os cibercriminosos utilizam tais estratégias para aumentar a lucratividade das ações maliciosas. Isso acontece porque os ataques de extorsão tripla ampliam a extensão de vítimas atingidas, aumentando o retorno financeiro.
Basicamente, as táticas envolvem a criptografia de dados, ameaça de vazamento de dados confidenciais e uma terceira tática, geralmente um ataque DDoS, utilizado para aumentar o poder de persuasão do atacante. Sim, os ataques DDoS podem ser utilizados tanto separadamente, como em extorsões triplas.
O BlackCat é um exemplo recente de ransomware de extorsão tripla. Descoberto em novembro de 2021, o ransomware utiliza estratégias audaciosas para executar seus crimes. Os atacantes recrutam afiliados para violar corporações e criptografar dispositivos. Com táticas altamente personalizáveis, o ransomware possibilita a execução em diversos ambientes corporativos.
Utilizando o Rust para escrita da ameaça, uma linguagem de programação muito mais segura, se comparada com a C e C++, o grupo mostra como as estratégias de extorsão de dados estão cada vez mais difíceis de serem combatidas. O Rust é uma linguagem personalizável, possibilitando a dinamização e individualização dos ataques.
Por fim, a extorsão quádrupla. Apesar de mais rara, existem grupos de cibercriminosos focados em ataques ransomware que executam essas estratégias, como os operadores da DarkSide. Em ataques de extorsão quádrupla, os atacantes combinam as camadas da criptografia, a exfiltração, execução de ataques DDoS e uma comunicação direta por call centers aos clientes das organizações afetadas. Esse contato também pode ocorrer por e-mails ou chamadas VoIP.
A exploração dessas camadas e os níveis de extorsão variam de acordo com a grupo de ransomware; além disso, os níveis nem sempre são executados em ordem, o que significa que um ataque pode sair de uma extorsão dupla para uma quádrupla, tranquilamente. Executar formas diferentes de extorsão e explorar diferentes táticas é uma prática de evolução do cibercrime, como no caso do grupo LAPSUS$.
Estudo de caso detalhado: Grupo LAPSUS$
O grupo de crimes cibernético Lapsus$ iniciou suas atividades em dezembro de 2021 no Brasil, com o episódio envolvendo uma tentativa de extorsão ao Ministério da Saúde, além de organizações de telecomunicações sul-americanas e empresas de mídia portuguesas. O grupo possui um diferencial na comunicação e nas técnicas aplicadas para extorsão, mostrando que existem diversas formas de comprometer informações confidenciais de uma organização e extorquir seus recursos.
A comunicação do grupo com o público é feita através de um canal público do Telegram, diferente dos sites de vazamento de dados, que geralmente são utilizados. A estratégia mostra a capacidade de adaptação das técnicas do cibercrime em uma superfície digital cada vez mais volátil e ampla. Com ações relativamente recentes, ainda não é possível mapearmos todos detalhes sobre como o grupo acessava e explorava suas vítimas. Os relatórios indicam explorações através dos protocolos RDP(Remote Desktop Protocol), e-mails de phishing para acesso inicial, além da compra de acesso de Initial Access Brokers (IABs), disponíveis na Deep & Dark Web. Ou seja, uma combinação de métodos para obtenção de acessos aos sistemas desejados.
Ao analisar as atividades do grupo, o time de Cyber Threat Intelligence da Axur apontou para o aliciamento de colaboradores para compartilhamento de credenciais de acesso a VPN e Remote Desktop, para realizar escalação de privilégios e movimentação lateral nos ambientes acessados.
Analisar as estratégias do grupo Lapsus$ nos ensina informações relevantes sobre exposição de dados e extorsão, como:
- Mesmo que os ataques DDoS e ransomware sejam os mais utilizados para práticas de extorsão, eles não são únicos e os acessos iniciais oferecem riscos consideráveis para as organizações.
- Os grupos focados em extorsão estão explorando canais legítimos para ampliar o público potencial de suas mensagens, reduzindo também as chances de interrupção por ataques de negação de serviços.
- A exploração de canais legítimos como Telegram, amplia o poder de recrutamento dos atacantes e a lucratividade das práticas, facilitando também a terceirização dos ataques. Além disso, potencializa a exposição das vítimas, já que as mensagens são rapidamente distribuídas em diversos outros grupos do Telegram e também do WhatsApp.
Todas essas estratégias movimentam o mercado do cibercrime e mostram o principal interesse das ações maliciosas na superfície digital: lucratividade.
Exposição e extorsão de dados: todos os caminhos levam ao lucro
Ainda que as estratégias e táticas sejam diferentes, os objetivos dos ataques de exposição e extorsão de dados concentram-se na lucratividade dos cibercriminosos. No caso de extorsões através de ataques ransomware ou DDoS, a lucratividade ocorre com a movimentação e pagamento em criptomoedas.
Além disso, os prejuízos envolvendo uma violações e exposições de dados englobam prejuízos de todos os lados: gastos para interrupção de ataques, recuperação das informações (quando possível) e retomada das operações. Outros gastos nem sempre calculados, são os custos envolvendo credenciais roubadas.
É inegável que as estratégias para exposição e extorsão são muitas, além das diversas formas de lucratividade com tais práticas. Sendo assim, as medidas proativas, capazes de mitigar tais riscos de maneira estratégica, tornam-se fundamentais.
Como não ser uma vítima e proteger seus negócios
O primeiro passo é entender que os cibercriminosos trabalham com a chantagem, explorando o medo de suas vítimas. Eles prometem a liberação dos dados em troca do pagamento do resgate. Contudo, não existe nenhuma garantia de que as informações realmente serão devolvidas, afinal a vítima está negociando com um criminoso. Sendo assim, recomendamos que nenhuma empresa interaja ou pague valores exigidos em episódios de extorsão de dados.
Combater e mitigar exposições de dados é uma tarefa que exige estratégias detalhadas e assertivas já que os vetores de exploração e as táticas são diversos. Portanto, torna-se fundamental a compreensão das vulnerabilidades potenciais associadas a tais ameaças.
Alguns exemplos:
- Senhas comprometidas
- Repositórios de código mal configurados - que possibilita uma engenharia reversa de código
- Dispositivos de rede mal configurados
- Ausência de controle de acessos
- Ausência de isolamento de aplicativos e sandbox
As vulnerabilidades são inúmeras e a proteção contra essas ameaças exige uma abordagem nova, ampla e proativa, como a de Cyber Threat Intelligence. Possibilitando uma visibilidade mais detalhada dos ataques, o CTI auxilia no combate a ameaças avançadas e emergentes, como as táticas de exposição e extorsão.
A Axur possui uma solução de CTI com recursos avançados de investigação que, aliada ao monitoramento de Deep & Dark Web, fornece informações estratégicas para investigar e tratar incidentes com a exposição de dados e extorsão.
Produzir e espalhar informação acessível e democrática sobre cibersegurança, é nisso que acredito.