Os profissionais de segurança cibernética que deveriam negociar com invasores de ransomware agora estão sendo acusados de facilitar ataques de ransomware. O Departamento de Justiça dos Estados Unidos anunciou acusações contra dois funcionários de uma empresa de negociação de segurança cibernética e um co-conspirador por hackear e implantar ransomware.
Os indivíduos trabalhavam para a DigitalMint, uma empresa especializada em negociar com cibercriminosos em nome de organizações afetadas por ransomware. Um terceiro suspeito, anteriormente gerente de resposta a incidentes em outra empresa, é acusado de participar do esquema. A acusação alega que os suspeitos invadiram empresas, roubaram dados corporativos confidenciais e usaram ransomware desenvolvido pelo grupo conhecido como ALPHV/BlackCat para extorquir as vítimas.
De acordo com as acusações, os funcionários da DigitalMint abusaram de seu papel de confiança infiltrando-se nas redes das vítimas, obtendo informações confidenciais e, em seguida, lançando ransomware contra esses mesmos alvos. Os promotores descrevem isso como uma séria traição à confiança que as organizações depositam nos parceiros de segurança cibernética. O DOJ observou que a conduta incluía “hacking não autorizado, roubo de dados e implantação de ransomware” sob o disfarce de serviços de negociação.
Este caso destaca uma tendência preocupante, pois atores posicionados como conselheiros defensivos ou negociadores estão implicados em operações ofensivas. As organizações que contratam empresas terceirizadas para negociar com adversários de ransomware podem precisar reavaliar suas dependências e controles. A dupla função de defensor e invasor complica as estruturas de confiança e supervisão na cadeia de suprimentos de segurança cibernética.
A negociação de ransomware é inerentemente de alto risco. As vítimas que se envolvem com invasores por meio de intermediários geralmente esperam minimizar os danos, recuperar sistemas criptografados e evitar vazamentos de dados. Mas quando a parte negociadora é cúmplice da cadeia de ataque, isso cria um conflito de interesses e introduz novos riscos. As suposições tradicionais sobre mediadores confiáveis nem sempre se aplicam mais.
A acusação não revela o número de organizações de vítimas ou as perdas totais causadas pelo alegado esquema. No entanto, enfatiza que a variante de ransomware usada, BlackCat/ALPHV, é uma ferramenta prolífica em campanhas de caça grossa. Analistas rastrearam o grupo extorquindo pagamentos multimilionários e ameaçando a exposição de dados se as demandas não forem pagas.
Para organizações que dependem de serviços de negociação em incidentes de ransomware, surgem várias medidas de precaução. Primeiro, a devida diligência em empresas de negociação deve incluir avaliações de independência, permissões de acesso e históricos de resposta a incidentes. Em segundo lugar, os controles contratuais e técnicos devem limitar o acesso do negociador a ambientes sensíveis até que seu papel seja claramente definido e delimitado. Em terceiro lugar, os planos de resposta a incidentes devem considerar cenários em que os próprios serviços de negociação podem ser comprometidos.
Em um contexto mais amplo, o papel em evolução das empresas de negociação reflete como os ecossistemas de ransomware estão se tornando cada vez mais complexos. Os invasores não estão simplesmente criptografando dados e exigindo pagamento. Eles agora podem contar com parceiros confiáveis, insiders ou atores externos que se apresentam como defensores para obter acesso inicial, mover-se lateralmente e lançar campanhas de extorsão. Isso aumenta o risco organizacional além da intrusão inicial para incluir a cadeia de suprimentos intermediária de resposta a incidentes e negociação.
Os defensores devem se concentrar em fortalecer a visibilidade de todas as partes envolvidas em um incidente de ransomware, não apenas o adversário, mas também a rede de respondentes e negociadores. Isso envolve verificar as credenciais das empresas de negociação, rastrear suas atividades em tempo real e manter estruturas de governança de incidentes que separam a negociação das funções de acesso e correção.
As acusações do DOJ ressaltam a necessidade de escrutínio regulatório e padrões profissionais no setor de negociação de ransomware. À medida que o papel dos intermediários de negociação se torna mais formalizado, podem surgir questões sobre licenciamento, supervisão e ética. O caso pode abrir um precedente para a forma como os governos e a indústria regulam o mercado mais amplo de resposta a incidentes.
O ransomware continua sendo uma grande ameaça, mas esse desenvolvimento muda parte da superfície de ameaças para o domínio dos serviços confiáveis. As organizações devem tratar os serviços de negociação como parte do ecossistema de resposta a incidentes que requer o mesmo nível de verificação e segurança que qualquer outro fornecedor com acesso privilegiado. Não fazer isso pode transformar um recurso de ajuda em um vetor de ameaça.