É notável ver o crescimento assustador dos ataques ransomware feito ao redor mundo, há incontáveis extensões de ransomware. Hoje há quartéis que controlam inúmeros malwares e fazem ataques coordenados, há grupos focados em grandes corporações, outros em apenas usuários comuns, enfim, há uma infinidade de táticas e grupos dispostos a fazer tudo para obter um retorno financeiro à custa de empresas e pessoas.
Diante de tudo, talvez, a tática mais danosa seja a afiliação de parceiros através do RaaS (Ransomware as a Service), que de forma simples, é a terceirização dos ataques.
Podemos citar alguns grupos que usam essas táticas, como: Backmatter, REvil, BABUK, Darside, Wannacry, Phometheus, PYSA, Conti, Xing e muitos outros. Praticamente todos os grupos usam essa tática.
Além da tática do RaaS também podemos citar a extorsão dupla, que consiste em encriptar os arquivos, paralisando o funcionamento da empresa, e a ameaça de vazar os arquivos confidenciais da empresa na internet. Além da dupla extorsão a grupos que leiloam os arquivos.
E, ainda, há grupos que oferecem a descriptografia gratuita se a vítima mandar o malware para 10 pessoas diferentes. Esses grupos possuem tantas táticas, que por muitas vezes a única opção que sobra é a fazer o pagamento do resgate.
Mas vamos falar sobre a RaaS, essa tática que brilha aos olhos de praticamente todos os grupos ransomware.
Como funciona a tática RaaS
Essa tática tem como objetivo maior expandir os ataques em quantidade e localidade. Pense em quantos ataques um grupo com 20 membros pode fazer, agora pensa em quantos ataques um grupos com 200 membros podem fazer. A conta é simples e isso é um óbvio para qualquer grupo ransomware.
Na grande maioria das vezes o grupo desenvolvedor fica com 70% do valor do resgate enquanto o afiliado fica com os outros 30%, essa margem pode mudar de acordo com a vítima e o valor do resgate pedido.
Os grupos utilizam fóruns na dark web para “apresentar” os seus serviços para atrair pessoas interessadas em se tornarem afiliados do grupo. Esses fóruns funcionam com workshops onde um usuário pode entrar e escolher qual ransomware ele quer escolher. Mas não pense que é tão simples assim se afiliar, a pessoa interessada precisa fazer como se fosse uma entrevista e concordar em seguir as diretrizes do grupo.
Por exemplo, a liberação da chave de descriptografia após o pagamento do resgate é vital para o grupo manter a imagem de que é “confiável”, claro que na devida proporção, se um grupo ficar conhecido em não liberar a chave de descriptografia mesmo com o pagamento, mas nenhuma vítima vai querer negociar com eles.
Por isso, o grupo precisa manter uma imagem de seriedade, logo os seus afiliados também precisam prezar por isso.
Um outro exemplo, a grupos que restringem o ataque há certos países e setores do mercado, caso o alguma empresa que foi atacada fazer parte de algum desses lugares a chave é liberada e o afiliado punindo.
É necessário entender algo sobre esses grupos, o alvo deles sempre será o ganho financeiro, eles serão prejudicados se não liberarem a chave de descriptografia, ou se atacar algum empresa que esteja em setor crítico que forçará a autoridade do pais a agirem trazendo uma atenção indesejada para o grupo e ainda evitar os países onde eles estão alocado, pois, caso haja ataques no país onde eles estão, a captura do grupo será mais fácil.
Uma pessoa se filiando ao grupo eles precisam concordar com todos os termos definidos pelo grupo ransomware.
Conclusão
O RaaS é um caminho natural para um grupo ransomware, o mercado nessa área é acirrado, e os grupos estão sempre à procura de novos afiliados capazes para executarem o ataque.
Esses ataques elevam a autoridade e o notoriedade do grupo, fazendo que eles estejam entre os grandes, aumentando as chances do pagamento do resgate.
Esse tipo de tática é preocupante, pois, agora os ataques se tornam mais recorrentes e ainda mais indiscriminados, lançando a isca na internet a procura de uma vítima desatenta.
Por isso, sempre é necessário saber como recuperar os dados mesmo sem a chave de descriptografia. E, para isso, existem empresas como a Digital Recovery e a Corvus que podem fazer essa recuperação.
