Maze –– пионеры двойного вымогательства
Первый опубликованный случай двойного вымогательства произошел с Allied Universal, крупной американской компанией по обеспечению безопасности еще в ноябре 2019 года. Когда жертвы отказались выплачивать выкуп в размере 300 биткойнов (примерно 2,3 миллиона долларов США), злоумышленники пообещали использовать конфиденциальную информацию, извлеченную из систем Allied Universal, а также украденные сертификаты электронной почты и доменных имен для проведения спам-кампании от лица Allied Universal. Чтобы доказать свои намерения, злоумышленники опубликовали образец украденных файлов: среди них были контракты, медицинские записи, сертификаты шифрования и многое другое. Позднее на российском хакерском форуме злоумышленники оставили ссылку на часть украденной информации –– как они утверждали, это было 10% украденных данных.
TA2101, группировка, которая занимается аналогичным вымогательством, создала специальную веб-страницу, на которой регулярно раскрывает личности и данные своих жертв, которые отказываются платить выкуп.
Maze опубликовала сведения о десятках компаний, юридических фирм, медицинских организаций и страховых компаний, которые не подчинились их требованиям. Предполагается, что большое количество других компаний избежали публикации своих конфиденциальных данных, выплачивая требуемый выкуп.
Последователи тренда
Другие киберпреступные группировки тоже стали придерживаться новой тактики и создали свои странички для публикации украденной информации для тех же целей. Злоумышленники, использующие SodinokibiRansomware (также известный как REvil), опубликовали подробности своих атак на 13 жертв, а также конфиденциальную информацию этих компаниий. Последней жертвой была американская Национальная ассоциация по борьбе с расстройствами пищевого поведения.
Сначала скриншоты с полученной информацией служат средством убедить жертв заплатить выкуп. Если оплата не была произведена вовремя, злоумышленники реализуют свою угрозу и выставляют конфиденциальную информацию в общий доступ.
Хакеры использует украденные данные как козыри: они знают, что за утечку информации компаниям, согласно законодательству GDPR, придется заплатить огромные штрафы. Например, в канун 2020 года REvil начала атаку на компанию Travelex, получив 5 ГБ конфиденциальных данных о клиентах, включая даты рождения, информацию о кредитных картах и национальные номера страхования. Хакеры дали Travelex два дня, чтобы заплатить 6 миллионов долларов США, после чего пообещали удвоить сумму выкупа и продать всю базу данных, если они не получат никакой оплаты в течение недели. Travelex пришлось отключиться от сети на три недели, чтобы оправиться от атаки.
Хакеры не могли пропустить атаки на мобильные устройства. Недавно вредоносная программа пыталась воспользоваться пандемией коронавируса, позиционируя себя как приложение для отслеживания заражения коронавирусом для устройств Android. Фактически приложение шифровало данные пользователей и угрожало выложить личную информацию из социальных сетей.
Maze также воспользовалась ситуацией с пандемией коронавируса. После критики за нападение на британскую медицинскую компанию, Maze объявила, что не будет атаковать медицинские учреждения, и предложила помощь и скидки для всех тех, кто ранее подвергся нападению шифровальщиков. Это не помешало им нападать на другие организации, такие как страховая компания Chubb.
Лучшая защита –– вообще не допустить возможности заражения. Эксперты Check Point ранее уже говорили о лучших способах защиты, напомним их: