Empresas de segurança pagam a atacantes em vez de desbloquearem ransomware

Um artigo de investigação apurou que pelo menos duas empresas norte americanas – a Proven Data e a MonsterCloud – prometiam a clientes vítimas de ataques de ransomware eliminar as ameaças e recuperar os seus dados. Na verdade, pagavam o regaste aos atacantes e já se investiga o seu envolvimento em redes de “hackers”

Empresas de segurança pagam a atacantes em vez de desbloquearem ransomware

A ProPublica divulgou o resultado de uma extensa investigação sobre o negócio das empresas de recuperação de dados nos Estados Unidos. Através dos testemunhos de antigos e atuais colaboradores dessas empresas, forças de segurança, antigos clientes e especialistas em segurança, o artigo publicado também no The Guardian vem colocar em causa os métodos de trabalho de duas das mais conhecidas empresas do ramo da recuperação de dados nos EUA: a Proven Data e a MonsterCloud.

Nos dois casos, conclui-se que as empresas prometiam aos seus clientes serem capazes de desbloquear o ransomware e devolverem os dados aos seus proprietários, omitindo que na realidade pagavam o resgate pedido pelos atacantes e cobravam depois um valor superior ao da ameaça inicial. Os pedidos de resgate aconteciam sobretudo na modalidade de bitcoin e o período da investigação reporta-se aos pedidos de ajuda entre 2015 e 2018.

O pagamento do valor de resgate é prática comum para este tipo de empresas, que habitualmente o faz comunicando às autoridades e aos clientes que o ransomware não é desbloqueável e por isso os dados impossíveis de recuperar sem aceder às exigências dos atacantes. O que não é comum – ou não deveria ser, creem os especialistas – é omitir junto das vítimas o pagamento dos valores exigidos. Essa falta de transparência leva exatamente a que hoje as duas empresas em causa estejam sob o radar das autoridades, por se terem tornado demasiado “amigáveis” do universo das redes de ciberataque.

A investigação da ProPublica concluiu que haveria “descontos especiais” nos resgates para as empresas servirem como intermediárias. A “amizade” estendia-se até à informalidade na troca de e-mails, quase como se as empresas de recuperação de dados fossem clientes habituais de hackers – relação que pelo menos um antigo funcionário da Proven Data atesta ser verdade.

A incapacidade de as autoridades de segurança mitigarem ciberataques, por falta de preparação e recursos, e até por vezes por serem elas próprias as vítimas, faz com que os Estados Unidos se tenham tornado especialmente permeáveis, e as vítimas viram-se para soluções como as oferecidas pela Proven Data e MonsterCloud, que ainda que dispendiosas e pouco transparentes, devolvem os dados às vítimas com enorme rapidez, devido também, e sobretudo, à proximidade que ganharam às redes de ciberataque.

Jeffrey Kosseff, especialista em direito em cibersegurança, diz que “é uma área cinzenta estranha onde há uma lei, mas ela não é imposta” por não se conseguir chegar aos culpados. O especialista acrescenta que “o ransomware é uma verdadeira falha no sistema legal e não há remédio para isso”.

Apesar de ser uma realidade um pouco por todo o mundo, a forma americana de tratar ameaças de ransomware é particular. Se a nível europeu há uma coordenação e preocupação maiores com estes casos, bem como equipas treinadas para responder, a nível da tutela, nos EUA é bem diferente.

Fabian Wosar, investigador de segurança britânico, diz que “as autoridades europeias procuram por especialistas e investigadores da área na plataforma Slack” e encontram-nos, facilitando a denúncia e reconhecimento de problemas de segurança, bem como agilizando a sua resolução. Já o FBI não pode simplificar os processos a este nível, por ir contra as regras de “arquivamento de informação” federal. Somando-se à burocracia, os técnicos do FBI estarão pouco familiarizados com o que é ransomware.

Além das quantias avultadas recebidas pelas empresas em troca de um serviço não correspondente ao combinado com os clientes, também se suspeita que a MonsterCloud tenha falsificado ‘reviews’ ao seu serviço de recuperação de dados.

Outra empresa denunciada através da investigação foi a russa Dr. Shifro, que usava os mesmos métodos que as duas americanas e foi ‘apanhada’ através de uma simulação de ameaça e resgate criada pela Check Point.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 48 Março 2024

IT INSIGHT Nº 48 Março 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.