Нова стратегія зловмисників: делікатні публікації. Кіберзлочинці все частіше атакують вибрані компанії та галузі в рамках цілеспрямованих кампаній. Конфіденційні дані більше не просто шифруються – натомість існують загрози публікації в Інтернеті. За словами Касперського, так виглядає програма-вимагач 2.0.
Останні атаки програм-вимагачів показують, що кіберзлочинці змінюють свою стратегію: вони відходять від чистого шифрування до цілеспрямованих атак із загрозою публікації конфіденційних даних, якщо викуп не буде сплачено. До такого висновку прийшли експерти Kaspersky, проаналізувавши дві сімейства програм-вимагачів Ragnar Locker і Egregor.
Нові стратегії атак програм-вимагачів
Компроміси з вимогою викупу, так звані атаки програм-вимагачів, зазвичай вважаються серйозними сценаріями атак. Вони не тільки можуть порушити важливі бізнес-операції, але й призвести до величезних фінансових втрат, а в деяких випадках навіть до банкрутства постраждалої організації через штрафи та судові позови. За оцінками, такі атаки, як WannaCry, завдали фінансових збитків на суму понад 4 мільярди доларів. Однак нещодавні кампанії програм-вимагачів змінюють спосіб дії: вони погрожують оприлюднити викрадену інформацію про компанію. Два відомі представники цього нового типу програм-вимагачів: Ragnar Locker і Egregor
Як діють Рагнар Локер і Егрегор
Ragnar Locker був виявлений у 2019 році, але набув популярності лише в першій половині 2020 року, коли мішенню стали великі корпорації. Атаки є дуже цілеспрямованими, кожна зловмисна дія пристосована до передбачуваної жертви. При цьому конфіденційна інформація компаній, які відмовляються платити, публікується на сторінці кіберзлочинців «Стіна ганьби». Якщо жертва спілкується зі зловмисниками, а потім відмовляється платити, цей чат також буде опубліковано. Основними цілями є компанії в США з різних галузей. У липні минулого року Ragnar Locker оголосив, що приєднався до картелю програм-вимагачів Maze. Це означає, що з тих пір між ними відбувався обмін викраденою інформацією та конкретна співпраця. У 2020 році Maze стала однією з найвідоміших сімей програм-вимагачів.
У потерпілого є лише 72 години
Егрегор вперше виявили у вересні минулого року. Зловмисне програмне забезпечення використовує багато ідентичних тактик, а також має спільний код з Maze. Зазвичай реалізується шляхом розриву мережі; після того, як деталі цільової компанії відфільтровано, жертві дається 72 години для сплати викупу, перш ніж викрадена інформація буде оприлюднена. Якщо постраждала організація відмовляється платити, зловмисники публікують назву та посилання для завантаження конфіденційних даних компанії на своїй сторінці витоку.
Радіус атаки Егрегора набагато більший, ніж у Рагнара Локера. Кіберзлочинці, що стоять за цим програмним забезпеченням-вимагачем, націлили жертв у Північній Америці, Європі та частинах Азіатсько-Тихоокеанського регіону.
Програмне забезпечення-вимагач 2.0 зростає
«Ми є свідками зростання поширення програм-вимагачів 2.0, що означає, що атаки стають більш цілеспрямованими, і ми більше не зосереджуємося лише на шифруванні конфіденційних даних, а на концепції їх публікації в Інтернеті», — коментує Дмитро Бестужев, керівник глобальної групи досліджень і аналізу. (GReAT) Латинська Америка в Kaspersky. Це не лише ставить під загрозу репутацію компанії, але й створює ризик судових позовів, якщо опубліковані дані порушують такі нормативні акти, як HIPAA (Закон про перенесення та підзвітність медичного страхування) або GDPR. Тож на карту поставлено щось більше, ніж просто фінансові втрати».
«Як наслідок, організації більше не можуть розглядати загрози програм-вимагачів одновимірно як лише один тип шкідливих програм», — додає Федір Сініцин, дослідник безпеки Kaspersky. «Насправді програми-вимагачі часто є лише останнім етапом зламу мережі. До моменту запуску програми-вимагача зловмисник уже прошукав усю мережу, виявив конфіденційні дані та витягнув їх. Важливо, щоб організації впроваджували весь спектр передових практик кібербезпеки. Раннє виявлення кібератак, до того, як зловмисники досягнуть наміченої мети, може заощадити компаніям багато грошей».
Більше про це в SecureList на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/