A gangue de ransomware ALPHV, também conhecida como BlackCat, está tentando colocar mais pressão em suas vítimas para pagar um resgate, fornecendo uma API para seu site de vazamentos para aumentar a visibilidade de seus ataques.
Esta ação segue uma recente violação da Estée Lauder pela gangue, que terminou com a empresa de beleza ignorando completamente os esforços do ator de ameaças para começar negociações para um pagamento de resgate.
Vários pesquisadores notaram no início desta semana que o site de vazamento de dados do ALPHV/BlackCat adicionou uma nova página com instruções para usar sua API para coletar atualizações oportunas sobre novas vítimas.
APIs, ou Interfaces de Programação de Aplicações, são geralmente usadas para permitir a comunicação entre dois componentes de software com base em definições e protocolos acordados.
O grupo de pesquisa de malware VX-Underground apontou para a nova seção no site da ALPHV, mas parece que o "recurso" tem sido parcialmente disponível por meses, embora não para um público maior.
A gangue de ransomware postou as chamadas de API que ajudariam a buscar várias informações sobre novas vítimas adicionadas ao seu site de vazamentos ou atualizações a partir de uma data específica.
“Busque atualizações desde o início e sincronize cada artigo com seu banco de dados.
Depois disso, qualquer chamada de atualização subsequente deve fornecer o `updatedDt` mais recente dos artigos anteriormente sincronizados + 1 milissegundo”, explicou a gangue.
O grupo também forneceu um rastreador escrito em Python para ajudar a recuperar as últimas informações no site de vazamento de dados.
Embora a gangue não tenha explicado o lançamento da API, uma razão poderia ser que menos vítimas estão cedendo às demandas de ransomware.
Um relatório da empresa de resposta a incidentes de ransomware, Coveware, observa que o número de vítimas pagantes que sofreram um ataque de ransomware “caiu para um recorde mínimo de 34%” no segundo trimestre deste ano.
No entanto, alguns atores de ameaça continuam a ganhar muito dinheiro focando em atacar a cadeia de suprimentos para violar um grande número de organizações.
O ransomware Clop, por exemplo, estima ganhar pelo menos 75 milhões de dólares com sua grande campanha de roubo de dados MOVEit.
As violações do Clop usando uma vulnerabilidade zero-day na plataforma de transferência de arquivos segura MOVEit Transfer provavelmente impactam centenas de empresas, incluindo a Estée Lauder, que também foi comprometida pela ALPHV/BlackCat.
Estée Lauder não respondeu a nenhuma mensagem de ALPHV, declarando claramente que não pagaria ao atacante pelos arquivos roubados.
Isso inflamou a gangue de ransomware e provocou uma mensagem descontente que zombava das medidas de segurança da empresa, dizendo que os especialistas em segurança contratados após a violação fizeram um péssimo trabalho porque a rede ainda estava comprometida.
Com menos vítimas pagantes, as gangues de ransomware estão procurando novos métodos para pressionar e conseguir o dinheiro.
Fazer seus vazamentos facilmente disponíveis para um público maior parece ser a última camada de extorsão do ransomware, mas é provável que esteja destinada ao fracasso.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...