Site reúne dados de ataques ransomware

Criado para monitorar os pagamentos de resgate em decorrência de ataques ransomware, o site Ransomwhere tem como intenção criar um banco de dados centralizado, aberto e gratuito que ajude a avaliar a disseminação do ransomware, o tamanho e o lucro das operações e a eficácia das tentativas de combate e mitigação desse tipo de cibercrime.

Trata-se de um projeto pessoal de Jack Cable, estudante da Universidade de Stanford e pesquisador de segurança do Grupo Krebs Stamos que trabalhou anteriormente para a Agência de Segurança e Infraestrutura dos Estados Unidos (CISA). “Depois de ver que atualmente não há um único lugar com dados públicos sobre pagamento de ransomware, e visto que não é difícil rastrear transações de bitcoins, decidi reunir essas informações”, afirmou o pesquisador.

O site permite que vítimas de ataques de ransomware ou profissionais de cibersegurança enviem a captura de tela do pedido de resgate, com o respectivo valor solicitado e o endereço onde o pagamento em criptomoedas deveria ser feito. A base de dados com as informações reunidas de todas as denúncias ficará disponível para download gratuito, ficando garantida a preservação da privacidade de dados pessoais das vítimas ou dos declarantes.

Embora seja impossível verificar com total certeza se a denúncia de ransomware é verdadeira e precisa, o site diz contar com o conhecimento coletivo para evitar relatos falsos ou equivocados. Dados vindos de fontes diferentes têm prioridade, e todos os elementos do relatório ficarão disponíveis publicamente. Caso haja alguma desconfiança de que as informações não são verdadeiras, os respectivos relatórios serão removidos da base de dados do Ransomwhere.

Considerando apenas o ano de 2021 e dados totalizados em meados de julho, o site mostrava o gráfico abaixo e um valor rastreado de mais de US$ 46 milhões em pagamentos de resgate. Grande parte foi destinada à gangue REvil que assumiu os ataques às empresas JBS e Kaseya.

O pesquisador espera ir além das contribuições das vítimas para também contar com parcerias com empresas nas área de análise de cibersegurança ou blockchain para integrar mais dados atores de ransomware. Por exemplo, empresas de análise de Bitcoin, como Chainalysis, trabalharam no passado para reunir endereços para depósito de criptomoedas em amostras de malware e pedidos de resgate e, em seguida, detectar se, de fato, o pagamento foi feito.

Dessa forma, pode-se estimar o lucro dos grupos de ransomware, como:

• Ryuk: $150 milhões
• REvil: $123 milhões
• Maze/Egregor: $75 milhões
• Netwalker: $25 milhões

No entanto, esse tipo de pesquisa fica restrito às gangues maiores de ransomware. É justamente para fechar essa e outras brechas que o site Ransomwhere pretende atuar. “Pode ser interessante seguir o caminho dos bitcoins – por exemplo, depois que os criminosos recebem o pagamento, para onde os bitcoins vão? À medida que o projeto avançar, posso fazer isso sozinho ou por meios de parcerias com empresas especializadas”, explica Cable em entrevista ao site The Record.