Двойной удар: злоумышленники шифруют данные жертв, а затем публикуют их IP-адреса

Группа Fog, известная кибератаками с использованием программ-шифровальщиков, начала публиковать в даркнете IP-адреса вдобавок к другим украденным данным организаций из различных отраслей. Это обнаружили эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). Таким образом атакующие усиливают психологическое давление на своих жертв: компрометация оказывается легко доказуемой, а вероятность получения дополнительного ущерба повышается. Публикация IP-адресов жертв после атаки замечена впервые: обычно злоумышленники только шифруют данные, а потом требуют выкуп за то, чтобы их не обнародовали.

Чем известна Fog. Группа работает по модели «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS), то есть предоставляет платный доступ к вредоносному ПО и инфраструктуре управления другим злоумышленникам. Активность группы впервые была замечена в начале 2024 года. Среди атакуемых отраслей — сферы образования, отдыха и туризма, финансов.

Как действуют злоумышленники. Кибератаки затрагивают системы на базе ОС Windows и Linux. Атакующие получают доступ к конфиденциальной информации организаций, используя скомпрометированные учётные данные для доступа к корпоративным VPN, а затем быстро их шифруют — иногда в течение двух часов.

«Новая тактика Fog не только позволяет усилить психологическое давление на жертв, но и повышает риски новых инцидентов в будущем. Другие злоумышленники могут воспользоваться опубликованными на теневых форумах IP-адресами, чтобы провести собственную кибератаку на организацию. Они могут использовать адреса для атак с подстановкой или перебором учётных данных либо атаковать инфраструктуру с помощью ботнетов*», — объясняет Игорь Кузнецов, директор Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»).

Чтобы защититься от кибератак с использованием программ-шифровальщиков, «Лаборатория Касперского» рекомендует организациям:

• проводить обучающие тренинги для сотрудников по основам кибербезопасности;
• регулярно делать резервное копирование данных и помещать их в изолированное от основной сети хранилище;
• установить надёжное защитное решение на все корпоративные устройства, эффективность которого подтверждается независимыми тестами;
• использовать решение уровня XDR для мониторинга подозрительной сетевой активности;
• в случае нехватки ИБ-специалистов, а также для более надёжной защиты можно делегировать задачи по обнаружению угроз и реагированию компании, специализирующейся на информационной безопасности.