O DoppelPaymer Ransomware é a família mais recente que ameaça vender ou publicar os arquivos roubados de uma vítima se ela não pagar um pedido de resgate.

Uma nova tática usada pelos operadores de ransomware que executam criptografia em toda a rede é roubar os arquivos da vítima antes de criptografar qualquer dispositivo. Eles ameaçam publicar ou vender esses dados se a vítima não pagar o resgate.

Essa nova tática começou em novembro de 2019, quando o Maze Ransomware lançou publicamente arquivos roubados pertencentes à Allied Universal por não pagarem um resgate.

Desde então, a Sodinokibi / REvil publicou dados roubados e o Nemty Ransomware anunciou em seu painel de afiliados do RaaS que eles começariam a fazê-lo também.

Agora é a vez de DoppelPaymer, que disse ao BleepingComputer que eles venderam os dados das vítimas na darknet no passado, quando não pagaram o resgate.

DoppelPaymer alega vender dados da vítima

Ao olhar para o site de pagamento DoppelPaymer Tor, a BleepingComputer notou que eles começaram recentemente a dizer às vítimas que haviam roubado seus dados e que publicariam ou venderiam se um resgate não fosse pago.

“Também reunimos todos os seus dados confidenciais. Algumas informações confidenciais roubadas dos servidores de arquivos serão divulgadas ao público ou vendidas a um revendedor se você decidir não pagar. Isso prejudicará a reputação da sua empresa”.

DoppelPaymer Tor Site - Caixa vermelha adicionada por BleepingComputer

Em e-mails com os operadores do DoppelPaymer Ransomware, os atores da ameaça disseram ao BleepingComputer que há quase um ano eles roubam dados de suas vítimas. Eles também alegaram ter vendido anonimamente arquivos roubados na darknet no passado, quando a vítima optou por não pagar o resgate.

Isso foi feito para “cobrir alguns custos”.

Enquanto o DoppelPaymer nos disse que ainda não divulgaram publicamente dados roubados, os operadores do Maze Ransomware mostraram que isso aumentará o número de pagamentos.

“O MAZE mostrou ao mundo que as taxas de sucesso aumentam após o compartilhamento de alguns dados”, disse DoppelPaymer à BleepingComputer.

Com base nas novas ameaças no site de pagamento do Tor, parece que eles planejam adotar essa tática também.

Como prova de que estão roubando dados, os operadores do DoppelPaymer compartilharam duas planilhas do Excel contendo uma lista dos usuários do Domínio do Windows em duas redes comprometidas.

No entanto, eles não compartilharam nenhum dos arquivos supostamente roubados da vítima.

Ataques de ransomware agora são violações de dados

Com os operadores de ransomware agora roubando rotineiramente os dados das vítimas e publicando ou vendendo-os se não forem pagos, os ataques de ransomware precisam ser classificados como violações de dados.

Com base nos dados roubados vistos pelo BleepingComputer em tentativas recentes de extorsão de ransomware, fica claro que informações confidenciais e privadas não apenas de empresas, mas também de funcionários estão sendo roubadas e liberadas.

Agora é importante que as empresas sejam transparentes e relatem ataques de ransomware para que todos os usuários afetados, e não apenas a empresa, estejam protegidos contra o vazamento de dados pessoais.

O DoppelPaymer começa a usar uma nova extensão

As versões recentes do ransomware DoppelPaymer também mudaram para uma nova extensão .doppeled dedicada para arquivos criptografados.

Os operadores do DoppelPaymer disseram ao BleepingComputer que isso foi feito para tornar mais fácil para as vítimas saberem o que o ransomware criptografou sua rede.

Como o DoppelPaymer é um ramo do ransomware BitPaymer , essa alteração de extensão facilita a diferenciação entre as duas famílias.

Autor: LAWRENCE ABRAMS

Artigo Original