Estudo descobre que a maioria das soluções de ransomware apenas pagam Cripto

Um estudo da ProPublica descobriu que a maioria dos provedores de soluções de ransomware tem um truque estranho para se livrar de hackers: pagá-los.

A atividade de ransomware está crescendo semanalmente, de acordo com especialistas daCoveware. O resultado? Empresas que só querem pagar o resgate e seguir em frente.

De acordo com a Coveware, os ataques de ransomware aumentaram no primeiro trimestre de 2019:

No Q1 de 2019, o resgate médio aumentou em 89% para $ 12.762, em comparação com $ 6.733 no Q4 de 2018. O aumento do resgate reflete o aumento de infecções de tipos mais caros de ransomware, como Ryuk, Bitpaymer e Iencrypt. Esses tipos de ransomware são predominantemente usados em ataques direcionados sob medida em alvos corporativos maiores.

Uma vez que os hackers criptografam um computador infectado, no entanto, a verdadeira questão é como desbloquear seus dados. A ProPublica descobriu que muitas empresas de recuperação de dados simplesmente pagam o resgate e depois cobram um prêmio pelo trabalho.

A Proven Data prometeu ajudar vítimas de ransomware desbloqueando seus dados com a “última Tecnologia”, de acordo com e-mails da empresa e antigos clientes. Em vez disso, obteve ferramentas de descriptografia de ciberataques pagando resgates, de acordo com Storfer e um depoimento do FBI obtido pela ProPublica.





Outra empresa dos EUA, a MonsterCloud, sediada na Flórida, também afirma usar seus próprios métodos de recuperação de dados, mas, em vez disso, paga resgates, às vezes sem informar as vítimas, como as agências policiais locais, descobriu a ProPublica. As empresas são parecidas em outros aspectos. Ambas cobram das vítimas taxas substanciais além dos valores do resgate. Elas também oferecem outros serviços, como selar violações para proteger contra ataques futuros. Ambas as empresas usaram pseudônimos para seus funcionários, em vez de nomes reais, na comunicação com as vítimas.

Subindo

O ransomware está piorando.

Depois que o Procurador-Geral dos EUA rastreou eindiciadodois hackers iranianos por lançarem um ransomware chamado SamSam, as autoridades esperavam que a prevalência de ataques caísse. Em vez disso, ela aumentou, superando consideravelmente os níveis de 2018.

A razão, muitos acreditam, é porque o ransomware é muito lucrativo. Os hackers podem lançar um ataque e, então, quando as vítimas descobrem o hack, eles negociam brevemente com empresas como MonsterCloud e outras para desbloquear os computadores. No entanto, muitas dessas empresas oferecem métodos de recuperação e muitos pesquisadores de segurança trabalham em métodos gratuitos, ONE para o popular Quero chorarransomware.

Infelizmente, os hacks estão piorando e o software necessário está ficando mais complexo.

Coveware admite

para realmente negociar com golpistas. Eles descobriram que esse é um dos métodos mais simples para obter dados de volta. A preocupação, no entanto, é que esses esforços estão inadvertidamente financiando o terrorismo. Além disso, eles escrevem, está demorando mais para descriptografar computadores hackeados, graças às novas versões do ransomware. No primeiro trimestre de 2019, escreveu Coveware, o "tempo médio de inatividade aumentou para 7,3 dias, de 6,2 dias no quarto trimestre de 2018".

Reconhecimento de padrões

O CEO da Coveware, Bill Siegel, descobriu que a recuperação média de ransomware T é realmente uma negociação com "terroristas", como acreditam autoridades do governo dos EUA. Eles negociaram "algumas centenas" de casos de ransomware este ano e descobriram que cada hacker é diferente e, muitas vezes, apenas frustrado.

"Nossa percepção com base em nosso estudo da indústria e experiência é que a vasta maioria são pessoas relativamente normais que T têm perspectivas econômicas legais que correspondam às suas habilidades técnicas", disse Siegel. "Eles também vivem em partes do mundo que estão além da jurisdição da aplicação da lei ocidental e são ambivalentes sobre roubar do Ocidente."

O processo deles para falar com os hackers também é bastante preciso.

"Estudamos seus padrões de comunicação para que possamos construir um banco de dados de experiência. Há um grupo surpreendentemente pequeno de agentes de ameaças que estão ativos em um dado momento, então identificá-los é relativamente simples. A partir daí, temos scripts e táticas que aprimoramos ao longo de nossa experiência. Nós os utilizamos para desenvolver uma estratégia de negociação em nome de nosso cliente. Conhecemos os hackers com base no perfil e nos padrões que eles esgotam. T nos comunicamos com eles fora da representação de nossos clientes em uma negociação. Todos os dados que criamos de nossos casos são fornecidos à polícia trimestralmente também."

Zohar Pinhasi, da MonsterCloud, disse que sua empresa trabalhou duro para usar ambos os métodos: recuperação e resgate.

O processo de recuperação varia de caso para caso, dependendo do escopo e da natureza do ataque cibernético. Nossos métodos para obter recuperação e proteção de dados são o produto de anos de experiência técnica e conhecimento, e não divulgamos o processo ao público ou aos nossos clientes. Isso é comunicado claramente desde o início. No entanto, o que posso dizer é que somos uma empresa de segurança cibernética, não uma empresa de recuperação de dados. Temos vasto conhecimento e experiência lidando com esses criminosos, e passamos inúmeras horas acompanhando seus métodos em evolução para fornecer aos nossos clientes proteções contra todos os futuros invasores, não apenas ONE que se infiltra em seus dados no momento em que eles vêm até nós. Oferecemos uma garantia de devolução do dinheiro a qualquer cliente se não conseguirmos recuperar seus dados, e até o momento não tivemos um único cliente relatando um ataque subsequente dos mesmos criminosos ou de qualquer outro invasor.

Embora enviar alguns milhares de BTC para um endereço estranho possa não agradar muitas vítimas, ainda LOOKS ser a melhor maneira de reduzir os tempos de inatividade. Afinal, é culpa da organização por pegar o bug do ransomware em primeiro lugar. A prevenção, como dizem, geralmente é melhor do que a cura.

Imagem via arquivo CoinDesk .