Para executivos de alto escalão e líderes de segurança, descobrir que sua organização foi violada, seus sistemas críticos bloqueados e seus dados roubados, e então receber um pedido de resgate, é provavelmente o pior dia de sua vida profissional.
Mas pode ficar ainda pior, como alguns executivos que foram infectados com o ransomware Hazard descobriram recentemente. Depois de pagar o resgate em troca de um descriptografador para restaurar os arquivos criptografados, o descriptografador não funcionou.
O Registro não conversamos com a organização vítima neste caso – seus executivos se recusaram a ser entrevistados sobre sua experiência – então não sabemos os detalhes, incluindo setor, pedido de resgate, quais arquivos foram bloqueados, etc.
Ainda assim, presumimos que chegar à conclusão de que a melhor maneira de sair da situação era pagar os extorsionários — por preocupações com a privacidade dos dados dos clientes e funcionários, ou para colocar as operações comerciais novamente online, ou para minimizar danos à reputação, ou porque simplesmente não havia backups (ops) — foi uma decisão bastante dolorosa por si só.
Mas então pagar os criminosos e ainda não conseguir recuperar os arquivos? Isso é excruciante.
“O ransomware como um todo é extremamente estressante para a vítima”, disse Mark Lance, negociador de ransomware da GuidePoint Security. “Agora, nesta circunstância, especificamente, onde eles fizeram o pagamento e as ferramentas de descriptografia não funcionam”, os níveis de estresse aumentaram vários níveis.
Tivemos dois casos em que as ferramentas de descriptografia não funcionaram no período da semana.
“Nesta e em muitas situações como esta, eles estão confiando fortemente nas capacidades de descriptografia que funcionam em certos sistemas para que possam recuperar as operações”, disse Lance. O Registro. “Então o estresse aumenta substancialmente porque eles dizem: ‘Ei, fizemos esse grande pagamento de resgate com termos estabelecidos que diziam que se pagássemos, teríamos acesso.'”
A organização infectada obteve uma versão atualizada do descriptografador, mas isso também não estava funcionando. Uma empresa terceirizada que estava envolvida nas negociações do ransomware ligou para a GuidePoint, que primeiro tentou o suporte técnico dos criminosos e disse a eles que a vítima precisava de uma versão diferente do descriptografador.
Mas em vez de fornecer uma ferramenta para desbloquear os arquivos criptografados, os criminosos enviaram uma versão renomeada do descriptografador anterior. “E naquele ponto, eles ficaram quietos e não estavam mais se comunicando com a vítima”, disse Lance. “Eu acho que, neste caso, provavelmente estava acima das cabeças da equipe de suporte técnico.”
Seja qual for o motivo, a organização não conseguiu acessar os arquivos bloqueados, e a equipe do ransomware Hazard desapareceu. Eventualmente, a GuidePoint conseguiu corrigir o binário do descriptografador e então força bruta 16.777.216 valores possíveis até encontrar os bytes perdidos – finalmente descriptografando os arquivos.
No entanto, é um bom lembrete de que pagar um resgate não é garantia de recuperação de dados.
O que esperar quando você estiver descriptografando
“Uma das nossas principais tarefas é educar as vítimas sobre o que elas podem esperar e o que vai acontecer como parte do incidente de ransomware”, explicou Lance. “Também estamos sempre estabelecendo que, independentemente de qualquer coisa que seja acordada, você ainda está lidando com criminosos — essas são as mesmas pessoas que estão extorquindo você por dinheiro. Apesar de como eles adoram falar sobre como estão lhe fazendo favores, e eles têm uma taxa de sucesso de 100 por cento para descriptografia, você está lidando com criminosos cibernéticos, então você não pode confiar neles.”
A frequência de ocorrências como essa, em que o decodificador não funciona, “aumenta e diminui”, acrescentou.
A GuidePoint não tinha visto isso acontecer há meses durante as negociações de ransomware e respostas a incidentes que a equipe realizou, “mas então tivemos dois que ocorreram, onde as ferramentas de descriptografia não funcionaram, no intervalo de uma semana”.
Alguns dos mais “sofisticados” grupos de ransomware como serviço ter equipes internas de suporte técnico para realizar solução de problemas mais avançada. Lance observou que sua equipe viu essas equipes escalarem o problema para os membros mais avançados tecnicamente da gangue criminosa quando as coisas quebram – assim como uma operação de TI regular e não criminosa.
Há também o novatos e as equipes menos sofisticadas que não têm as habilidades técnicas ou mesmo as preocupações com a reputação – falaremos mais sobre isso em breve – para tentar atividades de recuperação de dados de nível superior.
No final das contas, os motivos pelos quais as ferramentas de descriptografia não funcionam variam. No incidente do ransomware Hazard, o descriptografador tinha um bug. Às vezes, as gangues fornecem uma ferramenta para o ambiente errado, também a tornando inútil. Ou às vezes, eles simplesmente decidem ferrar com as vítimas.
Este último não acontece com muita frequência – este é um negócios para esses bandidos, e se eles ganharem a reputação de não descriptografar dados mesmo depois de receber o pagamento do resgate, eles não vão continuar ganhando dinheiro com futuras vítimas.
Todos esses fatores devem ser levados em consideração pelas empresas infectadas e contribuem para a educação que a GuidePoint e outros socorristas levam às vítimas depois que elas são atingidas.
“Fizemos muito progresso em educação e conscientização”, explicou Lance. “As pessoas entendem que isso não é apenas um problema de segurança ou TI, mas é um problema de negócios, e as pessoas estão vendo os verdadeiros impactos associados ao ransomware.”
Ele acrescentou que, embora houvesse um estigma maior associado à divulgação de ataques de ransomware, “estamos vendo uma tendência maior de pessoas dizendo que estamos sendo impactados, então vamos garantir que outras pessoas tenham a oportunidade de aprender e aproveitar o que estamos passando para que, esperançosamente, elas não o façam”. ®
