Новая тактика хакеров: двойное вымогательство
20/05/20
В первом квартале 2020 года хакеры использовали новую тактику, гораздо более опасную, чем предыдущие. Теперь киберпреступники добавляют дополнительный этап в свою атаку, и получается двойное вымогательство. Перед шифрованием баз данных жертвы злоумышленники извлекают большие объемы коммерческой информации и угрожают опубликовать ее, если не будет заплачен выкуп. Это оказывает дополнительное давление на организации и мотивирует выполнять требования хакеров.
Maze –– пионеры двойного вымогательства
Первый опубликованный случай двойного вымогательства произошел с Allied Universal, крупной американской компанией по обеспечению безопасности еще в ноябре 2019 года. Когда жертвы отказались выплачивать выкуп в размере 300 биткойнов (примерно 2,3 миллиона долларов США), злоумышленники пообещали использовать конфиденциальную информацию, извлеченную из систем Allied Universal, а также украденные сертификаты электронной почты и доменных имен для проведения спам-кампании от лица Allied Universal. Чтобы доказать свои намерения, злоумышленники опубликовали образец украденных файлов: среди них были контракты, медицинские записи, сертификаты шифрования и многое другое. Позднее на российском хакерском форуме злоумышленники оставили ссылку на часть украденной информации –– как они утверждали, это было 10% украденных данных.
TA2101, группировка, которая занимается аналогичным вымогательством, создала специальную веб-страницу, на которой регулярно раскрывает личности и данные своих жертв, которые отказываются платить выкуп.
Maze опубликовала сведения о десятках компаний, юридических фирм, медицинских организаций и страховых компаний, которые не подчинились их требованиям. Предполагается, что большое количество других компаний избежали публикации своих конфиденциальных данных, выплачивая требуемый выкуп.
Последователи тренда
Другие киберпреступные группировки тоже стали придерживаться новой тактики и создали свои странички для публикации украденной информации для тех же целей. Злоумышленники, использующие SodinokibiRansomware (также известный как REvil), опубликовали подробности своих атак на 13 жертв, а также конфиденциальную информацию этих компаниий. Последней жертвой была американская Национальная ассоциация по борьбе с расстройствами пищевого поведения.
Сначала скриншоты с полученной информацией служат средством убедить жертв заплатить выкуп. Если оплата не была произведена вовремя, злоумышленники реализуют свою угрозу и выставляют конфиденциальную информацию в общий доступ.
Хакеры использует украденные данные как козыри: они знают, что за утечку информации компаниям, согласно законодательству GDPR, придется заплатить огромные штрафы. Например, в канун 2020 года REvil начала атаку на компанию Travelex, получив 5 ГБ конфиденциальных данных о клиентах, включая даты рождения, информацию о кредитных картах и национальные номера страхования. Хакеры дали Travelex два дня, чтобы заплатить 6 миллионов долларов США, после чего пообещали удвоить сумму выкупа и продать всю базу данных, если они не получат никакой оплаты в течение недели. Travelex пришлось отключиться от сети на три недели, чтобы оправиться от атаки.
Хакеры не могли пропустить атаки на мобильные устройства. Недавно вредоносная программа пыталась воспользоваться пандемией коронавируса, позиционируя себя как приложение для отслеживания заражения коронавирусом для устройств Android. Фактически приложение шифровало данные пользователей и угрожало выложить личную информацию из социальных сетей.
Maze также воспользовалась ситуацией с пандемией коронавируса. После критики за нападение на британскую медицинскую компанию, Maze объявила, что не будет атаковать медицинские учреждения, и предложила помощь и скидки для всех тех, кто ранее подвергся нападению шифровальщиков. Это не помешало им нападать на другие организации, такие как страховая компания Chubb.
Лучшая защита –– вообще не допустить возможности заражения. Эксперты Check Point ранее уже говорили о лучших способах защиты, напомним их:
- Регулярно делайте резервное копирование ваших данных и файлов. Очень важно, чтобы вы регулярно создавали резервные копии важных файлов, предпочтительно используя облачное хранилище. Включите автоматическое резервное копирование, если это возможно.
- Научите сотрудников распознавать потенциальные угрозы. Наиболее распространенными методами заражения, используемые в кампаниях с участием вымогателей, по-прежнему являются спам и фишинговые электронные письма. Очень часто грамотные пользователи могут предотвратить атаку, просто не открыв письмо или не загрузив вредоносное вложение. Обучите своих сотрудников базовым правилам кибергигиены и попросите сообщать службе безопасности о подозрительных письмах.
- Ограничьте доступ к файлам. Чтобы минимизировать урон от успешной атаки вымогателей на вашу организацию, убедитесь, что сотрудники имеют доступ только к той информации, которая необходима им для выполнения их непосредственных обязанностей. Это значительно снижает вероятность того, что атака вымогателей распространится по всей вашей сети. Устранение последствий атаки вымогателей на однопользовательскую систему может быть проблематичным, но последствия сетевой атаки значительно хуже.
- Постоянно обновляйте защитные решения. С точки зрения информационной безопасности, безусловно, полезно регулярно обновлять антивирусные и другие средства защиты на основе сигнатур. Но одних только защит на основе сигнатур недостаточно для обнаружения и предотвращения сложных атак с использованием программ-вымогателей: они предназначены для обхода традиционных средств защиты. Современные решения безопасности могут защитить вашу организацию от известных вредоносных программ, которые были обнаружены ранее и имеют распознанную подпись.
- Внедряйте решения многоуровневой безопасности, включая передовые технологии предотвращения угроз. В дополнение к традиционным средствам защиты на основе сигнатур, таким как антивирус и IPS, организациям необходимо использовать дополнительные уровни для предотвращения новых неизвестных угроз, у которых нет известных сигнатур. Два ключевых компонента, которые следует использовать –– извлечение угроз (очистка файлов) и эмуляция угроз (расширенная песочница). Каждый элемент обеспечивает отдельную защиту, которая при совместном использовании предлагает комплексное решение для защиты от неизвестных вредоносных программ на сетевом уровне и непосредственно на конечных устройствах.