A empresa de recuperação de ransomware Coveware acredita que a gangue de ransomware Cl0p pode ganhar até US$ 100 milhões com o hack do MOVEit, que afetou centenas de organizações.
Em um relatório de monetização de ransomware publicado na sexta-feira, Coveware disse que a porcentagem de vítimas que pagaram resgate no segundo trimestre de 2023 caiu para um recorde de baixa de 34%.
A empresa observou que as chances de os cibercriminosos serem pagos no caso de ataques que envolvem apenas roubo de dados sem a implantação de ransomware com criptografia de arquivos – como no caso do hack MOVEit – a probabilidade de um resgate ser pago pela vítima é inferior a 50%, mas o valor do resgate costuma ser maior.
“Embora a campanha MOVEit possa acabar impactando mais de 1.000 empresas diretamente, e uma ordem de magnitude mais indireta, uma porcentagem muito pequena de vítimas se preocupou em tentar negociar, muito menos em pagar. Aqueles que pagaram, pagaram substancialmente mais do que as campanhas anteriores do Cl0p e várias vezes mais do que o valor médio global de resgate de US$ 740.144”, disse Coveware.
“É provável que o grupo Cl0p ganhe de US$ 75 a US$ 100 milhões apenas com a campanha MOVEit, com essa quantia proveniente de apenas um pequeno punhado de vítimas que sucumbiram a pagamentos de resgate muito altos”, acrescentou.
Enquanto isso, o grupo Cl0p tem tentado novas táticas para fazer as vítimas do MOVEit pagarem, inclusive estabelecendo sites de superfície dedicados para alguns dos principais alvos, como os gigantes da contabilidade EY e PwC.
Essa tática, que envolve postar alguns dos dados roubados para todos verem, também foi usada por outros grupos, como a gangue Alphv/BlackCat.
A empresa anti-malware Emsisoft foi monitorando o hack do MOVEit e atualmente está ciente de quase 400 vítimas, incluindo organizações que foram atingidas diretamente e outras que foram impactadas indiretamente.
Por exemplo, a empresa de folha de pagamento e RH Zellis com sede no Reino Unido foi atingida diretamente e as principais empresas que usam os serviços da Zellis, como a BBC e a British Airways, foram impactadas indiretamente.
Outro exemplo é a PBI, que fornece serviços de pesquisa para os setores previdenciário, de seguros e financeiro. Ao que tudo indica, várias organizações e milhões de pessoas tiveram suas informações comprometidas por meio do hack PBI MOVEit, segundo dados coletados pelo DataBreaches.net.
Com base em dados de notificações de violação do estado, arquivamentos da SEC e outras divulgações públicas, a Emsisoft acredita que haja mais de 20 milhões de indivíduos afetados. No entanto, Brett Callow, da Emsisoft, observou que esse número vem de apenas 66 divulgações, com muitas vítimas ainda não divulgando o número de pessoas afetadas.
O ataque MOVEit envolveu a exploração de uma vulnerabilidade de dia zero que deu aos cibercriminosos acesso a dados transferidos por organizações por meio da solução de transferência gerenciada de arquivos.
A Bitsight informou na semana passada que muitas organizações têm vulnerabilidades de zero-day e outras recentemente descobertas do MOVEit, o que não é surpreendente, dada a sua notoriedade.